Auf dieser Seite
Grundlegendes zu PVLAN-Datenverkehrsflüssen über mehrere Switches hinweg
Grundlegendes zu sekundären VLAN-Trunk-Ports und promiskuitiven Zugriffsports in PVLANs
802.1X-Authentifizierung und private VLANs zusammen auf derselben Schnittstelle verwenden
Erstellen eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung (CLI-Verfahren)
Erstellen eines privaten VLANs auf einem einzelnen QFX-Switch ohne ELS-Unterstützung
Erstellen eines privaten VLANs, das mehrere Switches der QFX-Serie ohne ELS-Unterstützung umfasst
Beispiel: Konfigurieren eines privaten VLANs auf einem einzelnen Switch mit ELS-Unterstützung
Beispiel: Konfigurieren eines privaten VLANs auf einem einzelnen Switch der QFX-Serie
Beispiel: Konfigurieren eines privaten VLANs auf einem einzelnen Switch der EX-Serie
Beispiel: Konfigurieren eines privaten VLANs mit mehreren QFX-Switches
Beispiel: Konfigurieren eines privaten VLANs mit mehreren Switches der EX-Serie
Überprüfen, ob ein privates VLAN auf einem Switch funktioniert
Private VLANs
Grundlegendes zu privaten VLANs
VLANs beschränken Broadcasts auf bestimmte Benutzer. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie die Kommunikation innerhalb eines VLANs einschränken. PVLANs erreichen dies, indem sie den Datenverkehrsfluss durch ihre Mitglieds-Switch-Ports (die als private Portsbezeichnet werden) einschränken, sodass diese Ports nur mit einem bestimmten Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren. Der Uplink-Trunk-Port oder die Link Aggregation Group (LAG) ist in der Regel mit einem Router-, Firewall-, Server- oder Provider-Netzwerk verbunden. Jedes PVLAN enthält in der Regel viele private Ports, die nur mit einem einzigen Uplink-Port kommunizieren und dadurch verhindern, dass die Ports miteinander kommunizieren.
PVLANs bieten Layer-2-Isolierung zwischen Ports innerhalb eines VLANs und teilen eine Broadcast-Domäne in mehrere diskrete Broadcast-Subdomänen auf, indem sekundäre VLANs (Community-VLANs und ein isoliertes VLAN) innerhalb eines primären VLANs erstellt werden. Ports innerhalb desselben Community-VLANs können miteinander kommunizieren. Ports innerhalb eines isolierten VLANs können nur mit einem einzigen Uplink-Port kommunizieren.
Genau wie normale VLANs sind PVLANs auf Layer 2 isoliert und erfordern eine der folgenden Optionen, um Layer-3-Datenverkehr zwischen den sekundären VLANs weiterzuleiten:
Eine promiskuitive Portverbindung mit einem Router
Eine geroutete VLAN-Schnittstelle (RVI)
Um Layer-3-Datenverkehr zwischen sekundären VLANs zu routen, benötigt ein PVLAN nur eine der oben genannten Optionen. Wenn Sie einen RVI verwenden, können Sie dennoch eine Promiscuous-Port-Verbindung zu einem Router implementieren, wobei der Promiscuous-Port so eingerichtet ist, dass nur Datenverkehr verarbeitet wird, der in das PVLAN ein- und ausgeht.
PVLANs sind nützlich, um den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und um die Kommunikation zwischen bekannten Hosts einzuschränken. Service Provider nutzen PVLANs, um ihre Kunden voneinander zu isolieren. Eine weitere typische Verwendung für ein PVLAN ist die Bereitstellung von Internetzugang pro Zimmer in einem Hotel.
Sie können ein PVLAN so konfigurieren, dass es sich über Switches erstreckt, die PVLANs unterstützen.
In diesem Thema werden die folgenden Konzepte in Bezug auf PVLANs auf Switches der EX-Serie erläutert:
- Vorteile von PVLANs
- Typischer Aufbau und primäre Anwendung von PVLANs
- Typischer Aufbau und primäre Anwendung von PVLANs auf Routern der MX-Serie
- Typischer Aufbau und primäre Anwendung von PVLANs auf Switches der EX-Serie
- Routing zwischen isolierten und Community-VLANs
- PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen
- PVLANs nutzen IP-Adressen effizient
- PVLAN-Porttypen und Weiterleitungsregeln
- Erstellen eines PVLAN
- Einschränkungen privater VLANs
Vorteile von PVLANs
Die Notwendigkeit, ein einzelnes VLAN zu trennen, ist besonders nützlich in den folgenden Bereitstellungsszenarien:
Serverfarmen: Ein typischer Internetdienstanbieter verwendet eine Serverfarm, um Webhosting für zahlreiche Kunden bereitzustellen. Die Platzierung der verschiedenen Server in einer einzigen Serverfarm erleichtert die Verwaltung. Sicherheitsbedenken entstehen, wenn sich alle Server im selben VLAN befinden, da Layer-2-Broadcasts an alle Server im VLAN gehen.
Metropolitan Ethernet-Netzwerke: Ein Metro-Service Provider bietet Layer-2-Ethernet-Zugang für verschiedene Haushalte, Mietgemeinschaften und Unternehmen. Die herkömmliche Lösung, bei der ein VLAN pro Kunde bereitgestellt wird, ist nicht skalierbar und schwierig zu verwalten, was zu einer potenziellen Verschwendung von IP-Adressen führt. PVLANs bieten eine sicherere und effizientere Lösung.
Typischer Aufbau und primäre Anwendung von PVLANs
Ein PVLAN kann auf einem einzelnen Switch oder so konfiguriert werden, dass es sich über mehrere Switches erstreckt. Die Arten von Domänen und Ports sind:
Primäres VLAN: Das primäre VLAN des PVLAN ist mit einem 802.1Q-Tag (VLAN-ID) für das gesamte PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs enthalten (ein isoliertes VLAN und mehrere Community-VLANs).
Isoliertes VLAN/isolierter Port - Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle in einem isolierten VLAN kann Pakete nur an einen promiskuitiven Port oder den Inter-Switch Link (ISL)-Port weiterleiten. Eine isolierte Schnittstelle kann keine Pakete an eine andere isolierte Schnittstelle weiterleiten. und eine isolierte Schnittstelle kann keine Pakete von einer anderen isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Gateway-Router haben muss, muss das Gerät an einen isolierten Trunk-Port angeschlossen werden.
Community-VLAN/Community-Port - Sie können mehrere Community-VLANs in einem einzigen PVLAN konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann eine Layer-2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zum selben Community-VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLANs kann auch mit einem Promiscuous-Port oder dem ISL-Port kommunizieren. Wenn Sie z. B. zwei Kundengeräte haben, die Sie von anderen Kundengeräten isolieren müssen, die aber miteinander kommunizieren können müssen, verwenden Sie Community-Ports.
Promiscuous-Port - Ein Promiscuous-Port verfügt über Layer-2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob eine Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein promiskuitiver Port ist Mitglied des primären VLANs, aber nicht in einer sekundären Subdomäne enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind in der Regel mit einem promiskuitiven Port verbunden.
Inter-Switch Link (ISL): Eine ISL ist ein Trunk-Port, der mehrere Switches in einem PVLAN verbindet und zwei oder mehr VLANs enthält. Sie ist nur erforderlich, wenn sich ein PVLAN über mehrere Switches erstreckt.
Das konfigurierte PVLAN ist die primäre Domäne (primäres VLAN). Innerhalb des PVLAN konfigurieren Sie sekundäre VLANs, die zu Subdomänen werden, die in der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzelnen Switch oder so konfiguriert werden, dass es sich über mehrere Switches erstreckt. Das abgebildete Abbildung 1 PVLAN umfasst zwei Switches mit einer primären PVLAN-Domäne und verschiedenen Subdomänen.
Wie in Abbildung 3gezeigt, hat ein PVLAN nur eine primäre Domäne und mehrere sekundäre Domänen. Die Arten von Domänen sind:
Primäres VLAN: VLAN, das verwendet wird, um Frames nachgelagert an isolierte und Community-VLANs weiterzuleiten. Das primäre VLAN des PVLANs wird mit einem 802.1Q-Tag (VLAN-ID) für das gesamte PVLAN definiert. Das primäre PVLAN kann mehrere sekundäre VLANs enthalten (ein isoliertes VLAN und mehrere Community-VLANs).
Sekundäres isoliertes VLAN - VLAN, das Pakete nur vom primären VLAN empfängt und Frames stromaufwärts an das primäre VLAN weiterleitet. Das isolierte VLAN ist ein sekundäres VLAN, das innerhalb des primären VLAN verschachtelt ist. Ein primäres VLAN kann nur ein isoliertes VLAN enthalten. Eine Schnittstelle innerhalb eines isolierten VLAN (isolierte Schnittstelle) kann Pakete nur an einen promiskuitiven Port oder den PVLAN-Trunk-Port weiterleiten. Eine isolierte Schnittstelle kann keine Pakete an eine andere isolierte Schnittstelle weiterleiten. Eine isolierte Schnittstelle kann auch keine Pakete von einer anderen isolierten Schnittstelle empfangen. Wenn ein Kundengerät nur Zugriff auf einen Router haben muss, muss das Gerät an einen isolierten Trunk-Port angeschlossen werden.
Secondary Interswitch isolated VLAN (Sekundäres Interswitch-isoliertes VLAN): VLAN, das verwendet wird, um isolierten VLAN-Datenverkehr von einem Switch über PVLAN-Trunk-Ports an einen anderen weiterzuleiten. 802.1Q-Tags sind für Interswitch-isolierte VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, bei dem ein Trunking-Gerät eine 4-Byte-VLAN-Frame-Identifikationsregisterkarte in den Paket-Header einfügt. Ein Interswitch-isoliertes VLAN ist ein sekundäres VLAN, das innerhalb des primären VLANs verschachtelt ist.
Sekundäres Community-VLAN - VLAN, das verwendet wird, um Frames zwischen Mitgliedern einer Community (einer Teilmenge von Benutzern innerhalb des VLAN) zu transportieren und Frames an das primäre VLAN weiterzuleiten. Ein Community-VLAN ist ein sekundäres VLAN, das innerhalb des primären VLANs verschachtelt ist. Sie können mehrere Community-VLANs innerhalb eines einzelnen PVLANs konfigurieren. Eine Schnittstelle innerhalb eines bestimmten Community-VLAN kann eine Layer-2-Kommunikation mit jeder anderen Schnittstelle herstellen, die zum selben Community-VLAN gehört. Eine Schnittstelle innerhalb eines Community-VLANs kann auch mit einem Promiscuous-Port oder dem PVLAN-Trunk-Port kommunizieren.
Abbildung 2 zeigt ein PVLAN, das sich über mehrere Switches erstreckt, wobei das primäre VLAN (100) zwei Community-Domänen und 400) und eine isolierte (300Interswitch-Domäne enthält.
Primäre und sekundäre VLANs werden auf das Limit von 4089 VLANs angerechnet, die von der QFX-Serie unterstützt werden. Beispielsweise wird jedes VLAN in Abbildung 2 auf dieses Limit angerechnet.
Typischer Aufbau und primäre Anwendung von PVLANs auf Routern der MX-Serie
Das konfigurierte PVLAN wird zur primären Domäne, und sekundäre VLANs werden zu Unterdomänen, die innerhalb der primären Domäne verschachtelt sind. Ein PVLAN kann auf einem einzelnen Router erstellt werden. Das abgebildete Abbildung 3 PVLAN umfasst einen Router mit einer primären PVLAN-Domäne und mehreren sekundären Subdomänen.
Die Arten von Domänen sind:
Primäres VLAN: VLAN, das verwendet wird, um Frames nachgelagert an isolierte und Community-VLANs weiterzuleiten.
Sekundäres isoliertes VLAN - VLAN, das Pakete nur vom primären VLAN empfängt und Frames stromaufwärts an das primäre VLAN weiterleitet.
Secondary Interswitch isolated VLAN (Sekundäres Interswitch-isoliertes VLAN): VLAN, das verwendet wird, um isolierten VLAN-Datenverkehr von einem Router über PVLAN-Trunk-Ports an einen anderen weiterzuleiten.
Sekundäres Community-VLAN - VLAN, das verwendet wird, um Frames zwischen Mitgliedern einer Community zu transportieren, bei der es sich um eine Teilmenge der Benutzer innerhalb des VLANs handelt, und um Frames an das primäre VLAN weiterzuleiten.
PVLANs werden auf MX80-Routern, auf MX240-, MX480- und MX960-Routern mit DPCs im erweiterten LAN-Modus, auf Routern der MX-Serie mit MPC1-, MPC2- und Adaptive Services-PICs unterstützt.
Typischer Aufbau und primäre Anwendung von PVLANs auf Switches der EX-Serie
Das primäre VLAN des PVLANs wird mit einem 802.1Q-Tag (VLAN-ID) für das gesamte PVLAN definiert. Bei EX9200-Switches muss jedes sekundäre VLAN außerdem mit einer eigenen VLAN-ID definiert werden.
Abbildung 4 zeigt ein PVLAN auf einem einzelnen Switch, wobei das primäre VLAN (VLAN 100) zwei Community-VLANs (VLAN 300 und VLAN 400) und ein isoliertes VLAN (VLAN 50) enthält.
Abbildung 5 zeigt ein PVLAN, das sich über mehrere Switches erstreckt, wobei das primäre VLAN (VLAN 100) zwei Community-VLANs (VLAN 300 und VLAN 400) und ein isoliertes VLAN (VLAN 200) enthält. Außerdem wird angezeigt, dass die Switches 1 und 2 über eine Interswitch-Verbindung (PVLAN-Trunk-Link) verbunden sind.
Außerdem verwenden die in und Abbildung 5 gezeigten PVLANs Abbildung 4einen promiskuitiven Port, der mit einem Router verbunden ist, um Layer-3-Datenverkehr zwischen der Community und isolierten VLANs zu routen. Anstatt den Promiscuous-Port zu verwenden, der mit einem Router verbunden ist, können Sie ein RVI auf dem Switch oder Abbildung 4 einem der in Abbildung 5 (bei einigen EX-Switches) gezeigten Switches konfigurieren.
Um Layer-3-Datenverkehr zwischen isolierten und Community-VLANs weiterzuleiten, müssen Sie entweder einen Router mit einem promiskuitiven Port verbinden, wie in Abbildung 4 und Abbildung 5gezeigt, oder einen RVI konfigurieren.
Wenn Sie die Option RVI auswählen, müssen Sie einen RVI für das primäre VLAN in der PVLAN-Domäne konfigurieren. Dieser RVI bedient die gesamte PVLAN-Domäne, unabhängig davon, ob die Domäne einen oder mehrere Switches umfasst. Nachdem Sie den RVI konfiguriert haben, werden Layer-3-Pakete, die von den sekundären VLAN-Schnittstellen empfangen werden, dem RVI zugeordnet und von diesem weitergeleitet.
Beim Einrichten des RVI müssen Sie auch das Proxy Address Resolution Protocol (ARP) aktivieren, damit der RVI ARP-Anforderungen verarbeiten kann, die von den sekundären VLAN-Schnittstellen empfangen werden.
Weitere Informationen zur Konfiguration von PVLANs auf einem einzelnen Switch und auf mehreren Switches finden Sie unter Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie (CLI-Verfahren). Weitere Informationen zur Konfiguration eines RVI finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Routing zwischen isolierten und Community-VLANs
Um Layer-3-Datenverkehr zwischen isolierten und Community-VLANs weiterzuleiten, müssen Sie einen externen Router oder Switch mit einem Trunk-Port des primären VLANs verbinden. Der Trunk-Port des primären VLAN ist ein promiskuitiver Port. Daher kann es mit allen Ports im PVLAN kommunizieren.
PVLANs verwenden 802.1Q-Tags zur Identifizierung von Paketen
Wenn Pakete mit einem kundenspezifischen 802.1Q-Tag gekennzeichnet sind, identifiziert dieses Tag die Eigentümerschaft der Pakete für jeden Switch oder Router im Netzwerk. Manchmal werden 802.1Q-Tags in PVLANs benötigt, um Pakete von verschiedenen Subdomains zu verfolgen. Tabelle 1 zeigt an, wann ein VLAN 802.1Q-Tag im primären VLAN oder in sekundären VLANs benötigt wird.
| Auf einem einzelnen Switch | Auf mehreren Switches | |
|---|---|---|
| Primäres VLAN | Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen. |
Geben Sie ein 802.1Q-Tag an, indem Sie eine VLAN-ID festlegen. |
| Sekundäres VLAN | Für VLANs ist kein Tag erforderlich. |
VLANs benötigen 802.1Q-Tags:
|
PVLANs nutzen IP-Adressen effizient
PVLANs ermöglichen die Erhaltung von IP-Adressen und die effiziente Zuweisung von IP-Adressen. In einem typischen Netzwerk entsprechen VLANs in der Regel einem einzigen IP-Subnetz. In PVLANs gehören die Hosts in allen sekundären VLANs demselben IP-Subnetz an, da das Subnetz dem primären VLAN zugewiesen ist. Hosts innerhalb des sekundären VLANs werden IP-Adressen basierend auf IP-Subnetzen zugewiesen, die dem primären VLAN zugeordnet sind, und ihre IP-Subnetzmaskierungsinformationen spiegeln die des primären VLAN-Subnetzes wider. Jedes sekundäre VLAN ist jedoch eine separate Broadcast-Domain.
PVLAN-Porttypen und Weiterleitungsregeln
PVLANs können bis zu sechs verschiedene Porttypen verwenden. Das inAbbildung 2 dargestellte Netzwerk verwendet einen Promiscuous-Port zum Übertragen von Informationen zum Router, Community-Ports, um die Finanz- und HR-Communitys mit ihren jeweiligen Switches zu verbinden, isolierte Ports zum Verbinden der Server und einen PVLAN-Trunk-Port zum Verbinden der beiden Switches. Für PVLAN-Ports gelten unterschiedliche Einschränkungen:
Promiscuous trunk port - Ein promiscuous Port verfügt über Layer-2-Kommunikation mit allen Schnittstellen im PVLAN, unabhängig davon, ob die Schnittstelle zu einem isolierten VLAN oder einem Community-VLAN gehört. Ein promiskuitiver Port ist Mitglied des primären VLANs, aber nicht in einer der sekundären Subdomänen enthalten. Layer-3-Gateways, DHCP-Server und andere vertrauenswürdige Geräte, die mit Endgeräten kommunizieren müssen, sind in der Regel mit einem promiskuitiven Port verbunden.
PVLAN-Trunk-Link: Der PVLAN-Trunk-Link, der auch als Interswitch-Link bezeichnet wird, ist nur erforderlich, wenn ein PVLAN so konfiguriert ist, dass es sich über mehrere Switches erstreckt. Die PVLAN-Trunk-Verbindung verbindet die zahlreichen Switches, aus denen das PVLAN besteht.
PVLAN-Trunk-Port: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunk-Port erforderlich, um die Switches zu überspannen. Der PVLAN-Trunk-Port ist Mitglied aller VLANs innerhalb des PVLANs (d. h. des primären VLANs, der Community-VLANs und des isolierten VLANs zwischen den Switches) und überträgt den Datenverkehr vom primären VLAN und allen sekundären VLANs. Er kann mit allen Ports außer den isolierten Ports kommunizieren.
Die Kommunikation zwischen einem PVLAN-Trunk-Port und einem isolierten Port erfolgt in der Regel unidirektional. Die Mitgliedschaft eines PVLAN-Trunk-Ports im isolierten Interswitch-VLAN bezieht sich nur auf den Ausgang, was bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunk-Port weiterleiten kann, ein PVLAN-Trunk-Port jedoch keine Pakete an einen isolierten Port weiterleitet (es sei denn, die Pakete sind über einen promiskuitiven Zugriffsport eingegangen und werden daher an alle sekundären VLANs im selben primären VLAN wie der promiskuitive Port weitergeleitet).
Sekundärer VLAN-Trunk-Port (nicht dargestellt): Sekundäre Trunk-Ports übertragen sekundären VLAN-Datenverkehr. Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunk-Port Datenverkehr nur für ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunk-Port den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANS pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN, das Teil des primären VLANS pvlan400 ist.
Community-Port: Community-Ports kommunizieren untereinander und mit ihren promiskuitiven Ports. Community-Ports bedienen nur eine ausgewählte Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLANs getrennt.
Isolierter Zugriffsport - Isolierte Ports verfügen nur über Layer-2-Konnektivität mit promiskuitiven Ports und PVLAN-Trunk-Ports - Ein isolierter Port kann nicht mit einem anderen isolierten Port kommunizieren, selbst wenn diese beiden Ports Mitglieder derselben isolierten VLAN-Domäne (oder isolierten Interswitch-VLANs) sind. In der Regel ist ein Server, z. B. ein E-Mail-Server oder ein Backup-Server, an einem isolierten Port verbunden. In einem Hotel ist jedes Zimmer in der Regel über einen isolierten Port verbunden, was bedeutet, dass eine Kommunikation von Raum zu Raum nicht möglich ist, aber jedes Zimmer kann über den promiskuitiven Port auf das Internet zugreifen.
Promiscuous-Access-Port (nicht dargestellt): Diese Ports übertragen ungetaggten Datenverkehr. Datenverkehr, der über einen promiskuitiven Zugriffsport eingeht, wird an alle sekundären VLAN-Ports auf dem Gerät weitergeleitet. Wenn der Datenverkehr über einen VLAN-fähigen Port in das Gerät eingeht und über einen promiskuitiven Zugriffsport ausgeht, wird der Datenverkehr beim Ausgang nicht markiert. Wenn markierter Datenverkehr an einem promiskuitiven Zugriffsport eingeht, wird der Datenverkehr verworfen.
Interswitch-Link-Port: Ein Interswitch-Link-Port (ISL) ist ein Trunk-Port, der zwei Router verbindet, wenn ein PVLAN diese Router umfasst. Der ISL-Port ist Mitglied aller VLANs innerhalb des PVLANs (d. h. des primären VLANs, der Community-VLANs und des isolierten VLANs).
Die Kommunikation zwischen einem ISL-Port und einem isolierten Port erfolgt unidirektional. Die Mitgliedschaft eines ISL-Ports im isolierten VLAN des Interswitches bezieht sich nur auf den Ausgang, was bedeutet, dass eingehender Datenverkehr auf dem ISL-Port niemals dem isolierten VLAN zugewiesen wird. Ein isolierter Port kann Pakete an einen PVLAN-Trunk-Port weiterleiten, ein PVLAN-Trunk-Port kann jedoch keine Pakete an einen isolierten Port weiterleiten. Tabelle 3 fasst zusammen, ob Layer-2-Konnektivität zwischen den verschiedenen Porttypen besteht.
Tabelle 2 fasst die Layer-2-Konnektivität zwischen den verschiedenen Arten von Ports innerhalb eines PVLAN auf Switches der EX-Serie zusammen, die ELS unterstützen.
Vom Porttyp |
zu isolierten Ports? |
zu promiskuitiven Ports? |
Zu Community-Ports? |
Zum Inter-Switch-Link-Port? |
|---|---|---|---|---|
Isoliert |
Leugnen |
Zulassen |
Leugnen |
Zulassen |
Promiskuitiv |
Zulassen |
Zulassen |
Zulassen |
Zulassen |
Gemeinschaft 1 |
Leugnen |
Zulassen |
Zulassen |
Zulassen |
Port-Typ |
Promiskuitiver Stamm |
PVLAN-Trunk |
Sekundärer Trunk |
Community |
Isolierter Zugriff |
Promiskuitiver Zugang |
|---|---|---|---|---|---|---|
Promiskuitiver Stamm |
Ja |
Ja |
Ja |
Ja |
Ja |
Ja |
PVLAN-Trunk |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Ja |
Ja |
Sekundärer Trunk |
Ja |
Ja |
Nein |
Ja |
Nein |
Ja |
Community |
Ja |
Ja |
Ja |
Ja – nur dieselbe Community |
Nein |
Ja |
Isolierter Zugriff |
Ja |
Ja – nur unidirektional |
Nein |
Nein |
Nein |
Ja |
Promiskuitiver Zugang |
Ja |
Ja |
Ja |
Ja |
Ja |
Nein |
Tabelle 4 fasst zusammen, ob Layer-2-Konnektivität zwischen den verschiedenen Porttypen innerhalb eines PVLANs besteht.
Port-Typ Empfänger: → Von:↓ |
Promiskuitiv |
Community |
Isoliert |
PVLAN-Trunk |
RVI |
|---|---|---|---|---|---|
Promiskuitiv |
Ja |
Ja |
Ja |
Ja |
Ja |
Community |
Ja |
Ja – nur dieselbe Community |
Nein |
Ja |
Ja |
Isoliert |
Ja |
Nein |
Nein |
Ja HINWEIS:
Diese Kommunikation ist unidirektional. |
Ja |
PVLAN-Trunk |
Ja |
Ja – nur dieselbe Community |
Ja HINWEIS:
Diese Kommunikation ist unidirektional. |
Ja |
Ja |
RVI |
Ja |
Ja |
Ja |
Ja |
Ja |
Wie in Tabelle 4erwähnt, ist die Layer- 2-Kommunikation zwischen einem isolierten Port und einem PVLAN-Trunk-Port unidirektional. Das heißt, ein isolierter Port kann nur Pakete an einen PVLAN-Trunk-Port senden, und ein PVLAN-Trunk-Port kann nur Pakete von einem isolierten Port empfangen. Umgekehrt kann ein PVLAN-Trunk-Port keine Pakete an einen isolierten Port senden, und ein isolierter Port kann keine Pakete von einem PVLAN-Trunk-Port empfangen.
Wenn Sie die Option in einem primären VLAN aktivieren no-mac-learning , erben alle isolierten VLANs (oder das isolierte VLAN zwischen den Switches) im PVLAN diese Einstellung. Wenn Sie jedoch das Erlernen von MAC-Adressen in Community-VLANs deaktivieren möchten, müssen Sie jedes dieser VLANs konfigurieren no-mac-learning .
Erstellen eines PVLAN
Das in Abbildung 6 gezeigte Flussdiagramm gibt Ihnen eine allgemeine Vorstellung vom Prozess zum Erstellen von PVLANs. Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge ausführen, verstoßen Sie nicht gegen diese PVLAN-Regeln. (In den PVLAN-Regeln gilt die Konfiguration des PVLAN-Trunk-Ports nur für ein PVLAN, das sich über mehrere Router erstreckt.)
Das primäre VLAN muss ein getaggtes VLAN sein.
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN konfigurieren.
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Die Konfiguration eines VLANs auf einem einzelnen Router ist relativ einfach, wie in Abbildung 6gezeigt.
Die Konfiguration eines primären VLANs besteht aus den folgenden Schritten:
Konfigurieren Sie den primären VLAN-Namen und das 802.1Q-Tag.
Wird auf das primäre VLAN festgelegt no-local-switching .
Konfigurieren Sie den Promiscuous-Trunk-Port und die Zugriffsports.
Machen Sie den promiskuitiven Trunk und die Zugriffsports zu Mitgliedern des primären VLANs.
Innerhalb eines primären VLANs können Sie sekundäre Community-VLANs oder sekundäre isolierte VLANs oder beides konfigurieren. Die Konfiguration eines sekundären Community-VLANs besteht aus den folgenden Schritten:
Konfigurieren Sie ein VLAN wie gewohnt.
Konfigurieren Sie die Zugriffsschnittstellen für das VLAN.
Weisen Sie dem Community-VLAN ein primäres VLAN zu.
Isolierte VLANs werden intern erstellt, wenn das isolierte VLAN Zugriffsschnittstellen als Mitglieder hat und die Option no-local-switching im primären VLAN aktiviert ist.
802.1Q-Tags sind für Interswitch-isolierte VLANs erforderlich, da IEEE 802.1Q einen internen Tagging-Mechanismus verwendet, bei dem ein Trunking-Gerät eine 4-Byte-VLAN-Frame-Identifikationsregisterkarte in den Paket-Header einfügt.
Trunk-Ports werden nur für Multirouter-PVLAN-Konfigurationen benötigt – der Trunk-Port überträgt den Datenverkehr vom primären VLAN und allen sekundären VLANs.
Einschränkungen privater VLANs
Die folgenden Einschränkungen gelten für private VLAN-Konfigurationen:
Eine Zugriffsschnittstelle kann nur zu einer PVLAN-Domäne gehören, d. h., sie kann nicht an zwei verschiedenen primären VLANs teilnehmen.
Eine Trunk-Schnittstelle kann Mitglied von zwei sekundären VLANs sein, solange sich die sekundären VLANs in zwei verschiedenen primären VLANs befinden. Eine Trunk-Schnittstelle kann nicht Mitglied von zwei sekundären VLANs sein, die sich im selben primären VLAN befinden.
Eine einzelne Region des Multiple Spanning Tree Protocol (MSTP) muss in allen VLANs konfiguriert werden, die im PVLAN enthalten sind.
Das VLAN Spanning Tree Protocol (VSTP) wird nicht unterstützt.
IGMP-Snooping wird mit privaten VLANs nicht unterstützt.
Geroutete VLAN-Schnittstellen werden in privaten VLANs nicht unterstützt
Das Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.
Einige Konfigurationsanweisungen können nicht für ein sekundäres VLAN angegeben werden. Sie können die folgenden Anweisungen auf Hierarchieebene
[edit vlans vlan-name switch-options]nur im primären PVLAN konfigurieren.Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zuerst in ein normales VLAN ändern und die Änderung bestätigen. Sie würden z. B. wie folgt vorgehen:
Ändern Sie das primäre VLAN in ein normales VLAN.
Bestätigen Sie die Konfiguration.
Ändern Sie das normale VLAN in ein sekundäres VLAN.
Bestätigen Sie die Konfiguration.
Befolgen Sie die gleiche Abfolge von Commits, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN, bestätigen Sie diese Änderung und ändern Sie dann das normale VLAN in ein primäres VLAN.
Die folgenden Funktionen werden auf PVLANs auf Junos-Switches mit Unterstützung für den ELS-Konfigurationsstil nicht unterstützt:
Firewall-Filter für Ausgangs-VLAN
Ethernet-Ringschutz (ERP)
Flexibles VLAN-Tagging
Integrierte Routing- und Bridging-Schnittstelle (IRB)
Multichassis Link Aggregation Groups (MC-LAGs)
Port-Spiegelung
Q-in-Q-Tunneling
VLAN-Spanning-Tree-Protokoll (VSTP)
Voice over IP (VoIP)
Sie können die folgenden Anweisungen auf Hierarchieebene [edit vlans vlan-name switch-options] nur im primären PVLAN konfigurieren:
Grundlegendes zu PVLAN-Datenverkehrsflüssen über mehrere Switches hinweg
In diesem Thema werden drei verschiedene Datenverkehrsflüsse in einem Beispiel-Multiswitch-Netzwerk veranschaulicht und erläutert, das mit einem privaten VLAN (PVLAN) konfiguriert ist. PVLANs schränken den Datenverkehrsfluss über ihre Mitglieds-Switch-Ports (die als "private Ports" bezeichnet werden) ein, sodass sie nur mit einem bestimmten Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren.
In diesem Thema wird Folgendes beschrieben:
- Community-VLAN, das ungetaggten Datenverkehr sendet
- Isoliertes VLAN, das ungetaggten Datenverkehr sendet
- PVLAN-markierter Datenverkehr, der an einem promiskuitiven Port gesendet wurde
Community-VLAN, das ungetaggten Datenverkehr sendet
In diesem Beispiel sendet ein Mitglied von Community-1 auf Switch 1 ungetaggten Datenverkehr an die Schnittstelle ge-0/0/12. Die Pfeile in Abbildung 7 stellen den resultierenden Datenverkehrsfluss dar.
In diesem Beispiel wird den Community-1-Mitgliedern die C-VLAN-ID 100 zugewiesen, die der P-VLAN-ID 10 zugeordnet ist.
In diesem Szenario findet die folgende Aktivität auf Switch 1 statt:
-
Community-1-VLAN auf Schnittstelle ge-0/0/0 und ge-0/0/12: Lernen
-
PVLAN100 an den Schnittstellen GE-0/0/0 und GE-0/0/12: Replikation
-
Community-1-VLAN auf Schnittstelle ge-0/0/12: Empfängt nicht getaggten Datenverkehr
-
Community-1 VLAN-Schnittstelle ge-0/0/0: Traffic-Ausgänge ohne Tags
-
PVLAN-Trunk-Port: Traffic-Ausgänge von ge-1/0/2 und von ae0 mit Tag 10
-
Gemeinschaft-2: Schnittstellen empfangen keinen Datenverkehr
-
Isolierte VLANs: Schnittstellen empfangen keinen Datenverkehr
In diesem Szenario findet diese Aktivität auf Switch 3 statt:
-
Community-1-VLAN auf Schnittstelle ge-0/0/23 (PVLAN-Trunk): Lernen
-
PVLAN100 an der Schnittstelle GE-0/0/23: Replikation
-
Community-1-VLAN auf den Schnittstellen ge-0/0/9 und ge-0/0/16: Empfangen von nicht getaggtem Datenverkehr
-
Promiskuitiver Trunk-Port: Verkehrsausgänge von ge-0/0/0 mit Tag 10
-
Gemeinschaft-2: Schnittstellen empfangen keinen Datenverkehr
-
Isolierte VLANs: Schnittstellen empfangen keinen Datenverkehr
Isoliertes VLAN, das ungetaggten Datenverkehr sendet
In diesem Szenario sendet das isolierte VLAN1 auf Switch 1 an der Schnittstelle ge-1/0/0 ungetaggten Datenverkehr. Die Pfeile in Abbildung 8 stellen diesen Datenverkehrsfluss dar.
In diesem Szenario findet die folgende Aktivität auf Switch 1 statt:
Isoliertes VLAN1 auf Schnittstelle ge-1/0/0: Lernen
PVLAN100 auf Schnittstelle GE-1/0/0: Replikation
Verkehrsausgänge von pvlan-trunk GE-1/0/2 und AE0 mit Tag 50
Community-1 und Community-2: Schnittstellen empfangen keinen Datenverkehr
Isolierte VLANs: Schnittstellen empfangen keinen Datenverkehr
In diesem Szenario findet diese Aktivität auf Switch 3 statt:
VLAN auf der Schnittstelle ge-0/0/23 (PVLAN-Trunk-Port): Lernen
PVLAN100 auf Schnittstelle GE0/0/23: Replikation
Promiskuitiver Trunk-Port: Verkehrsausgänge von ge-0/0/0 mit Tag 100
Community-1 und Community-2: Schnittstellen empfangen keinen Datenverkehr
Isolierte VLANs: Empfangen Sie keinen Datenverkehr
PVLAN-markierter Datenverkehr, der an einem promiskuitiven Port gesendet wurde
In diesem Szenario wird PVLAN-getaggter Datenverkehr über einen promiskuitiven Port gesendet. Die Pfeile in Abbildung 9 stellen diesen Datenverkehrsfluss dar.
In diesem Szenario findet die folgende Aktivität auf Switch 1 statt:
pvlan100 VLAN auf Schnittstelle ae0 (PVLAN-Trunk): Lernen
Community-1, Community-2 und alle isolierten VLANs auf Schnittstelle ae0: Replikation
VLAN auf Schnittstelle ae0: Replikation
Verkehrsausgänge aus pvlan-trunk GE-1/0/2 mit Tag 100
Community-1 und Community-2: Schnittstellen empfangen Datenverkehr
Isolierte VLANs: Datenverkehr empfangen
In diesem Szenario findet diese Aktivität auf Switch 3 statt:
PVLAN100 an der Schnittstelle GE-0/0/0: Lernen
Community-1, Community-2 und alle isolierten VLANs auf der Schnittstelle ge-0/0/0: Replikation
VLAN auf Schnittstelle ge-0/0/0: Replikation
Community-1 und Community-2: Schnittstellen empfangen Datenverkehr
Isolierte VLANs: Datenverkehr empfangen
Grundlegendes zu sekundären VLAN-Trunk-Ports und promiskuitiven Zugriffsports in PVLANs
VLANs beschränken Broadcasts auf bestimmte Benutzer. Private VLANs (PVLANs) gehen noch einen Schritt weiter, indem sie ein VLAN in mehrere Broadcast-Subdomains aufteilen und sekundäre VLANs im Wesentlichen in einem primären VLAN platzieren. PVLANs schränken den Datenverkehrsfluss durch ihre Mitgliedsports ein, sodass diese Ports nur mit einem bestimmten Uplink-Trunk-Port oder mit bestimmten Ports innerhalb desselben VLANs kommunizieren. Der Uplink-Trunk-Port ist in der Regel mit einem Router-, Firewall-, Server- oder Provider-Netzwerk verbunden. Ein PVLAN enthält in der Regel viele private Ports, die nur mit einem einzigen Uplink kommunizieren und dadurch verhindern, dass die Ports miteinander kommunizieren.
Sekundäre Trunk-Ports und Promiscuous-Access-Ports erweitern die Funktionalität von PVLANs für den Einsatz in komplexen Bereitstellungen, wie z. B.:
VMWare Infrastrukturumgebungen für Unternehmen
Mandantenfähige Cloud-Services mit VM-Management
Webhosting-Services für mehrere Kunden
Sie können beispielsweise sekundäre VLAN-Trunk-Ports verwenden, um QFX-Geräte mit VMware-Servern zu verbinden, die mit privaten VLANs konfiguriert sind. Sie können promiskuitive Zugriffsports verwenden, um QFX-Geräte mit Systemen zu verbinden, die keine Trunk-Ports unterstützen, aber an privaten VLANs teilnehmen müssen.
In diesem Thema werden die folgenden Konzepte in Bezug auf PVLANs in der QFX-Serie erläutert:
PVLAN-Port-Typen
PVLANs können die folgenden unterschiedlichen Porttypen verwenden:
Promiscuous Trunk Port: Ein Promiscuous Port ist ein Upstream-Trunk-Port, der mit einem Router, einer Firewall, einem Server oder einem Provider-Netzwerk verbunden ist. Ein promiskuitiver Trunk-Port kann mit allen Schnittstellen kommunizieren, einschließlich der isolierten und Community-Ports innerhalb eines PVLANs.
PVLAN-Trunk-Port: In Multiswitch-PVLAN-Konfigurationen ist ein PVLAN-Trunk-Port erforderlich, um die Switches zu überspannen. Der PVLAN-Trunk-Port ist Mitglied aller VLANs innerhalb des PVLANs (d. h. des primären VLANs, der Community-VLANs und des isolierten VLANs zwischen den Switches) und überträgt den Datenverkehr vom primären VLAN und allen sekundären VLANs. Er kann mit allen Portskommunizieren.
Die Kommunikation zwischen einem PVLAN-Trunk-Port und einem isolierten Port erfolgt in der Regel unidirektional. Die Mitgliedschaft eines PVLAN-Trunk-Ports im isolierten Interswitch-VLAN bezieht sich nur auf den Ausgang, was bedeutet, dass ein isolierter Port Pakete an einen PVLAN-Trunk-Port weiterleiten kann, ein PVLAN-Trunk-Port jedoch keine Pakete an einen isolierten Port weiterleitet (es sei denn, die Pakete sind über einen promiskuitiven Zugriffsport eingegangen und werden daher an alle sekundären VLANs im selben primären VLAN wie der promiskuitive Port weitergeleitet).
Sekundärer VLAN-Trunk-Port: Sekundäre VLAN-Trunk-Ports übertragen sekundären VLAN-Datenverkehr. Für ein bestimmtes privates (primäres) VLAN kann ein sekundärer VLAN-Trunk-Port Datenverkehr für nur ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen primären VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunk-Port den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANS pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN, das Teil des primären VLANS pvlan400 ist.
HINWEIS:Wenn Datenverkehr von einem sekundären VLAN-Trunk-Port ausgeht, trägt er normalerweise das Tag des primären VLANs, in dem der sekundäre Port Mitglied ist. Wenn Sie möchten, dass Datenverkehr, der von einem sekundären VLAN-Trunk-Port ausgeht, sein sekundäres VLAN-Tag beibehält, verwenden Sie die extend-secondary-vlan-id Anweisung.
Community-Port: Community-Ports kommunizieren untereinander und mit ihren promiskuitiven Ports. Community-Ports bedienen nur eine ausgewählte Gruppe von Benutzern. Diese Schnittstellen sind auf Layer 2 von allen anderen Schnittstellen in anderen Communities oder isolierten Ports innerhalb ihres PVLANs getrennt.
Isolierter Zugriffsport: Isolierte Ports verfügen nur über Layer-2-Konnektivität mit promiskuitiven Ports und PVLAN-Trunk-Ports. Ein isolierter Zugriffsport kann nicht mit einem anderen isolierten Port kommunizieren, selbst wenn diese beiden Ports Mitglieder desselben isolierten VLANs sind.
Promiscuous Access Port: Diese Ports übertragen nicht getaggten Datenverkehr und können nur Mitglied eines primären VLANs sein. Datenverkehr, der über einen promiscuous-Zugriffsport eingeht, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, in dem der promiscuous access-Port Mitglied ist. In diesem Fall trägt der Datenverkehr das entsprechende sekundäre VLAN-Tag, wenn er vom sekundären VLAN-Port ausgeht, wenn der sekundäre VLAN-Port ein Trunk-Port ist. Wenn der Datenverkehr an einem sekundären VLAN-Port eingeht und an einem promiskuitiven Zugriffsport ausgeht, wird der Datenverkehr beim Ausgang enttaggt. Wenn markierter Datenverkehr an einem promiskuitiven Zugriffsport eingeht, wird der Datenverkehr verworfen.
Details zum sekundären VLAN-Trunk-Port
Wenn Sie einen sekundären VLAN-Trunk-Port verwenden, beachten Sie Folgendes:
Sie müssen eine Isolations-VLAN-ID für jedes primäre VLAN konfigurieren, an dem der sekundäre VLAN-Trunk-Port beteiligt ist. Dies gilt auch dann, wenn die sekundären VLANs, die der sekundäre VLAN-Trunk-Port überträgt, auf ein einziges Gerät beschränkt sind.
Wenn Sie einen Port als sekundären VLAN-Trunk-Port für ein bestimmtes primäres VLAN konfigurieren, können Sie denselben physischen Port auch als einen der folgenden konfigurieren:
Sekundärer VLAN-Trunk-Port für ein anderes primäres VLAN
PVLAN-Trunk für ein anderes primäres VLAN
Promiskuitiver Trunk-Port
Zugriffsport für ein nicht-privates VLAN
Datenverkehr, der an einem sekundären VLAN-Trunk-Port (mit einem sekundären VLAN-Tag) eingeht und an einem PVLAN-Trunk-Port ausgeht, behält das sekundäre VLAN-Tag beim Ausgang bei.
Datenverkehr, der über einen sekundären VLAN-Trunk-Port eingeht und über einen promiskuitiven Trunk-Port ausgeht, hat das entsprechende primäre VLAN-Tag für den ausgehenden Datenverkehr.
Datenverkehr, der über einen sekundären VLAN-Trunk-Port eingeht und über einen promiskuitiven Zugriffsport ausgeht, wird beim Ausgang nicht markiert.
Datenverkehr, der über einen Promiscuous-Trunk-Port mit einem primären VLAN-Tag eingeht und über einen sekundären VLAN-Trunk-Port ausgeht, trägt beim Ausgang das entsprechende sekundäre VLAN-Tag. Angenommen, Sie haben auf einem Switch Folgendes konfiguriert:
Primäres VLAN 100
Community-VLAN 200 als Teil des primären VLANs
Promiskuitiver Trunk-Port
Sekundärer Trunk-Port, der Community-VLAN 200 überträgt
Wenn ein Paket am promiskuitiven Trunk-Port mit dem primären VLAN-Tag 100 eingeht und am sekundären VLAN-Trunk-Port ausgeht, trägt es Tag 200 beim ausgehenden Zugriff.
Anwendungsszenarien
Auf derselben physischen Schnittstelle können Sie mehrere sekundäre VLAN-Trunk-Ports (in verschiedenen primären VLANs) konfigurieren oder einen sekundären VLAN-Trunk-Port mit anderen Arten von VLAN-Ports kombinieren. Die folgenden Anwendungsfälle bieten Beispiele dafür und zeigen, wie der Datenverkehr in jedem Fall fließen würde:
- Sekundäre VLAN-Trunks in zwei primären VLANs
- Sekundärer VLAN-Trunk und promiskuitiver Trunk
- Sekundärer VLAN-Trunk und PVLAN-Trunk
- Sekundärer VLAN-Trunk und nicht-private VLAN-Schnittstelle
- Eingehender Datenverkehr über Promiscuous-Access-Port
Sekundäre VLAN-Trunks in zwei primären VLANs
Nehmen wir für diesen Anwendungsfall an, dass Sie zwei Switches mit der folgenden Konfiguration haben:
Primäres VLAN pvlan100 mit Tag 100.
Isoliertes VLAN isolated200 mit Tag 200 ist Mitglied von pvlan100.
Das Community-VLAN comm300 mit dem Tag 300 ist Mitglied von pvlan100.
Primäres VLAN pvlan400 mit Tag 400.
Isoliertes VLAN isolated500 mit Tag 500 ist Mitglied von pvlan400.
Das Community-VLAN comm600 mit dem Tag 600 ist Mitglied von pvlan400.
Die Schnittstelle xe-0/0/0 auf Switch 1 stellt eine Verbindung zu einem VMware-Server (nicht dargestellt) her, der mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist. Diese Schnittstelle ist mit sekundären VLAN-Trunk-Ports konfiguriert, um den Datenverkehr für das sekundäre VLAN comm600 und das isolierte VLAN (Tag 200) zu übertragen, das Mitglied von pvlan100 ist.
Die Schnittstelle xe-0/0/0 auf Switch 2 wird als promiskuitiver Trunk-Port oder promiskuitiver Zugriffsport konfiguriert angezeigt. Im letzteren Fall können Sie davon ausgehen, dass es eine Verbindung zu einem System (nicht gezeigt) herstellt, das keine Trunk-Ports unterstützt, aber mit den in diesem Beispiel verwendeten privaten VLANs konfiguriert ist.
Auf Switch 1 ist xe-0/0/6 Mitglied von comm600 und als Trunk-Port konfiguriert.
Auf Switch 2 ist xe-0/0/6 Mitglied von comm600 und als Zugriffsport konfiguriert.
Abbildung 10 zeigt diese Topologie und wie der Datenverkehr für Isolated200 und Comm600 nach dem Eingang auf xe-0/0/0 auf Switch 1 fließen würde. Beachten Sie, dass der Datenverkehr nur dort fließen würde, wo die Pfeile anzeigen. Beispielsweise gibt es keine Pfeile für die Schnittstellen xe-0/0/2, xe-0/0/3 und xe-0/0/5 auf Switch 1, da auf diesen Schnittstellen keine Pakete ausgehen würden.
Hier ist der Datenverkehrsfluss für VLAN isolated200:
Beachten Sie, dass der Datenverkehr für VLAN isolated200 nicht über den isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder den sekundären VLAN-Trunk-Port xe-0/0/2 auf Switch 2 ausgeht, obwohl diese beiden Ports Mitglieder desselben isolierten VLANs sind.
Hier ist der Datenverkehrsfluss für VLAN comm600:
Nach dem eingehenden Datenverkehr für comm600 am sekundären VLAN-Trunk-Port auf Switch 1 wird er am PVLAN-Trunk-Port ausgegeben, da der PVLAN-Trunk-Port Mitglied aller VLANs ist. Die Pakete behalten beim Ausgang das sekundäre VLAN-Tag (600) bei.
Der Datenverkehr für comm600 geht auch über den Community-Port xe-0/0/6 auf Switch 1 aus. Der Datenverkehr wird markiert, da der Port als Trunk konfiguriert ist.
Nachdem der Datenverkehr für comm600 am PVLAN-Trunk-Port auf Switch 2 eingeht, geht er an xe-0/0/0 aus, wenn diese Schnittstelle als promiskuitiver Trunk-Port konfiguriert ist.
HINWEIS:Wenn xe-0/0/0 auf Switch 2 als promiskuitiver Zugriffsport konfiguriert ist, kann der Port nur an einem primären VLAN teilnehmen. In diesem Fall ist der promiskuitive Zugriffsport Teil von pvlan100, sodass der Datenverkehr für comm600 nicht von ihm ausgeht
Der Datenverkehr für comm600 geht auch über den Community-Port xe-0/0/6 auf Switch 2 aus. In diesem Fall ist der Datenverkehr nicht markiert, da der Portmodus Zugriff ist.
Sekundärer VLAN-Trunk und promiskuitiver Trunk
Nehmen wir für diesen Anwendungsfall an, dass Sie zwei Switches mit denselben Ports und VLANs wie im vorherigen Anwendungsfall konfiguriert haben, mit einer Ausnahme: In diesem Fall wird xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunk-Port für das VLAN pvlan100 und auch als promiskuitiver Trunk-Port für pvlan400 konfiguriert.
Abbildung 11 zeigt diese Topologie und wie der Datenverkehr für Isolated200 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Eingang auf Switch 1 fließen würde.
Der Datenverkehrsfluss für VLAN isolated200 ist derselbe wie im vorherigen Anwendungsfall, aber der Datenfluss für comm600 ist anders. Hier ist der Datenverkehrsfluss für VLAN comm600:
Sekundärer VLAN-Trunk und PVLAN-Trunk
Nehmen wir für diesen Anwendungsfall an, dass Sie zwei Switches mit denselben Ports und VLANs wie in den vorherigen Anwendungsfällen konfiguriert haben, mit der Ausnahme, dass xe-0/0/0 auf Switch 1 als sekundärer VLAN-Trunk-Port für VLAN pvlan100 und auch als PVLAN-Trunk-Port für pvlan400 konfiguriert ist.
Abbildung 12 zeigt diese Topologie und wie der Datenverkehr für comm300 (Mitglied von pvlan100) und comm600 (Mitglied von pvlan400) nach dem Eingang auf Switch 1 fließen würde.
Hier ist der Datenverkehrsfluss für VLAN comm300:
Hier ist der Datenverkehrsfluss für VLAN comm600:
Nachdem der Datenverkehr für comm600 auf dem PVLAN-Port xe-0/0/0 auf Switch 1 eingegangen ist, wird er über den Community-Port xe-0/0/6 auf Switch 1 ausgegeben. Die Pakete behalten beim Ausgang das sekundäre VLAN-Tag (600) bei, da xe-0/0/6 ein Trunk-Port ist.
Der Datenverkehr für comm600 geht auch über den PVLAN-Trunk-Port xe-0/0/1 aus, da dieser PVLAN-Trunk-Port Mitglied aller VLANs ist. Die Pakete behalten beim Ausgang das sekundäre VLAN-Tag (600) bei.
Nachdem der Datenverkehr für comm600 am PVLAN-Trunk-Port auf Switch 2 eingeht, geht er an xe-0/0/0 aus, wenn diese Schnittstelle als promiskuitiver Trunk-Port konfiguriert ist.
Er geht nicht an xe-0/0/0 aus, wenn diese Schnittstelle als promiskuitiver Zugriffsport konfiguriert ist, da der Port nur an pvlan100 teilnehmen kann.
Der Datenverkehr für comm600 geht auch über den Community-Port xe-0/0/6 auf Switch 2 aus. Dieser Datenverkehr ist beim ausgehenden Datenverkehr nicht markiert, da xe-0/0/6 ein Zugriffsport ist.
Sekundärer VLAN-Trunk und nicht-private VLAN-Schnittstelle
Nehmen wir für diesen Anwendungsfall an, dass Sie zwei Switches mit denselben Ports und VLANs wie in den vorherigen Anwendungsfällen konfiguriert haben, mit Ausnahme der folgenden Unterschiede:
Konfiguration für xe-0/0/0 auf Switch 1:
Sekundärer VLAN-Trunk-Port für VLAN pvlan100
Zugriffsport für vlan700
Port xe-0/0/6 auf beiden Switches ist ein Zugriffsport für VLAN700.
Abbildung 13 zeigt diese Topologie und wie der Datenverkehr für Isolated200 (Mitglied von pvlan100) und VLAN700 nach dem Eingang auf Switch 1 fließen würde.
Hier ist der Datenverkehrsfluss für VLAN isolated200:
Beachten Sie, dass der Datenverkehr für VLAN isolated200 nicht über den isolierten Zugriffsport xe-0/0/2 auf Switch 1 oder den sekundären VLAN-Trunk-Port xe-0/0/2 auf Switch 2 ausgeht, obwohl diese beiden Ports Mitglieder desselben isolierten VLANs sind.
Nachdem der Datenverkehr für VLAN700 auf dem Zugriffsport eingeht, der auf xe-0/0/0 auf Switch 1 konfiguriert ist, wird er auf Zugriffsport xe-0/0/6 ausgegeben, da dieser Port Mitglied desselben VLANs ist. Der Datenverkehr für VLAN700 wird nicht an Switch 2 weitergeleitet (obwohl xe-0/0/6 auf Switch 2 Mitglied von VLAN700 ist), da der PVLAN-Trunk auf xe-0/0/1 dieses VLAN nicht überträgt.
Eingehender Datenverkehr über Promiscuous-Access-Port
Nehmen wir für diesen Anwendungsfall an, dass Sie zwei Switches mit denselben Ports und VLANs wie im vorherigen Anwendungsfall konfiguriert haben, mit der Ausnahme, dass xe-0/0/0 auf Switch 1 als promiskuitiver Zugriffsport konfiguriert ist und Mitglied von pvlan100 ist. Abbildung 14 zeigt diese Topologie und wie ungetaggter Datenverkehr nach dem Eingang durch diese Schnittstelle auf Switch 1 fließen würde.
Wie die Abbildung zeigt, wird ungetaggter Datenverkehr, der über einen promiscuous-Zugriffsport eingeht, an alle sekundären VLAN-Ports weitergeleitet, die Mitglieder desselben primären VLANs sind, in dem der promiscuous access-Port Mitglied ist. Der Datenverkehr ist nicht markiert, wenn er von Zugriffsports ausgeht, und markiert beim Ausgang von einem Trunk-Port (xe-0/0/2 auf Switch 2).
802.1X-Authentifizierung und private VLANs zusammen auf derselben Schnittstelle verwenden
- Grundlegendes zur gemeinsamen Verwendung von 802.1X-Authentifizierung und PVLANs auf derselben Schnittstelle
- Konfigurationsrichtlinien für die Kombination von 802.1X-Authentifizierung mit PVLANs
- Beispiel: Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
Grundlegendes zur gemeinsamen Verwendung von 802.1X-Authentifizierung und PVLANs auf derselben Schnittstelle
Sie können jetzt sowohl die 802.1X-Authentifizierung als auch private VLANs (PVLANs) auf derselben Schnittstelle konfigurieren.
Die IEEE 802.1X-Authentifizierung bietet Netzwerk-Edge-Sicherheit und schützt Ethernet-LANs vor unbefugtem Benutzerzugriff, indem der gesamte Datenverkehr zu und von einem Supplicant (Client) an der Schnittstelle blockiert wird, bis die Anmeldeinformationen des Supplicants auf dem authentication server (einem RADIUS-Server) angezeigt und abgeglichen werden.
Private VLANs (PVLANs) bieten Layer-2-Isolierung zwischen Ports innerhalb eines VLANs, indem sie eine Broadcast-Domäne in mehrere diskrete Broadcast-Subdomänen aufteilen, indem sekundäre VLANs erstellt werden. PVLANs sind nützlich, um den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und um die Kommunikation zwischen bekannten Hosts einzuschränken.
Wenn auf einem Switch, der sowohl mit 802.1X-Authentifizierung als auch mit PVLANs konfiguriert ist, ein neues Gerät an das PVLAN-Netzwerk angeschlossen wird, wird das Gerät authentifiziert und dann basierend auf der PVLAN-Konfiguration oder dem RADIUS-Profil einem sekundären VLAN zugewiesen. Das Gerät erhält dann eine IP-Adresse und erhält Zugriff auf das PVLAN-Netzwerk.
Dieses Dokument enthält keine detaillierten Informationen zur 802.1X-Authentifizierung oder zu privaten VLANs. Diese Details finden Sie in der Featuredokumentation, die für diese einzelnen Features spezifisch ist. Informationen zu 802.1X finden Sie unter Benutzerhandbuch für Benutzerzugriff und Authentifizierung. Informationen zu PVLANs finden Sie im Ethernet-Switching-Benutzerhandbuch.
Konfigurationsrichtlinien für die Kombination von 802.1X-Authentifizierung mit PVLANs
Beachten Sie die folgenden Richtlinien und Einschränkungen für die Konfiguration dieser beiden Funktionen auf derselben Oberfläche:
Sie können eine 802.1X-fähige Schnittstelle nicht als promiskuitive Schnittstelle (eine Schnittstelle, die per Konfiguration Mitglied des primären VLAN ist) oder als Interswitch-Link-Schnittstelle (ISL) konfigurieren.
Mehrere Benutzer können nicht über verschiedene VLANs authentifiziert werden, die zur gleichen PVLAN-Domäne auf einer logischen Schnittstelle gehören – wenn z. B. die Schnittstelle ge-0/0/0 als
supplicant multiplekonfiguriert ist und die Clients C1 und C2 authentifiziert sind und den dynamischen VLANs V1 bzw. V2 hinzugefügt werden, dann müssen V1 und V2 zu unterschiedlichen PVLAN-Domänen gehören.Wenn das VoIP-VLAN und das Daten-VLAN unterschiedlich sind, müssen sich diese beiden VLANs in unterschiedlichen PVLAN-Domänen befinden.
Wenn die PVLAN-Mitgliedschaft geändert wird (d. h., wenn eine Schnittstelle in einem anderen PVLAN neu konfiguriert wird),müssen Clients erneut authentifiziert werden.
Beispiel: Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
- Anforderungen
- Überblick
- Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
- Verifizierung
Anforderungen
Junos OS Version 18.2R1 oder höher
EX2300-, EX3400- oder EX4300-Switch
Bevor Sie beginnen, geben Sie den RADIUS-Server oder die RADIUS-Server an, die als Authentifizierungsserver verwendet werden sollen. Weitere Informationen finden Sie unter Angeben von RADIUS-Serververbindungen auf Switches (CLI-Verfahren).
Überblick
Der folgende Konfigurationsabschnitt zeigt die Konfiguration des Zugriffsprofils, die 802.1X-Authentifizierungskonfiguration und schließlich die Konfiguration der VLANs (einschließlich PVLANs).
Konfigurieren der 802.1X-Authentifizierung mit privaten VLANs in einer Konfiguration
Verfahren
CLI-Schnellkonfiguration
[edit] set access radius-server 10.20.9.199 port 1812 set access radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set access profile dot1x-auth authentication-order radius set access profile authp authentication-order radius set access profile authp radius authentication-server 10.204.96.165 set switch-options voip interface ge-0/0/8.0 vlan voip set interfaces ge-0/0/8 unit 0 family ethernet-switching interface-mode access set interfaces ge-0/0/8 unit 0 family ethernet-switching vlan members data set protocols dot1x authenticator authentication-profile-name authp set protocols dot1x authenticator interface ge-0/0/8.0 supplicant multiple set protocols dot1x authenticator interface ge-0/0/8.0 mac-radius set vlans community vlan-id 20 set vlans community private-vlan community set vlans community-one vlan-id 30 set vlans community-one private-vlan community set vlans isolated vlan-id 200 set vlans isolated private-vlan isolated set vlans pvlan vlan-id 2000 set vlans pvlan isolated-vlan isolated set vlans pvlan community-vlans [community community-one] set vlans data vlan-id 43 set vlans voip vlan-id 33
Schritt-für-Schritt-Anleitung
So konfigurieren Sie 802.1X-Authentifizierung und PVLANs in einer Konfiguration:
Konfigurieren Sie das Zugriffsprofil:
[edit access] set radius-server 10.20.9.199 port 1812 set radius-server 10.20.9.199 secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf" set profile dot1x-auth authentication-order radius set profile authp authentication-order radius set profile authp radius authentication-server 10.204.96.165 [edit switch-options] set voip interface ge-0/0/8.0 vlan voip
HINWEIS:Das konfigurierte VoIP-VLAN darf kein PVLAN (primär, Community-VLAN oder isoliert) sein.
Konfigurieren Sie die 802.1X-Einstellungen:
[edit interfaces] set ge-0/0/8 unit 0 family ethernet-switching interface-mode access set ge-0/0/8 unit 0 family ethernet-switching vlan members data [edit protocols] set dot1x authenticator authentication-profile-name authp set dot1x authenticator interface ge-0/0/8.0 supplicant multiple set dot1x authenticator interface ge-0/0/8.0 mac-radius
HINWEIS:Das konfigurierte Daten-VLAN kann auch ein Community-VLAN oder ein isoliertes VLAN sein.
Konfigurieren Sie die VLANs (einschließlich der PVLANs):
[edit vlans] set community vlan-id 20 set community private-vlan community set community-one vlan-id 30 set community-one private-vlan community set isolated vlan-id 200 set isolated private-vlan isolated set pvlan vlan-id 2000 set pvlan isolated-vlan isolated set pvlan community-vlans [community community-one] set data vlan-id 43 set voip vlan-id 33
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden show Befehle auf dem Switch eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
user@switch# show access
radius-server {
10.20.9.199 {
port 1812;
secret "$9$Lqa7dsaZjP5F245Fn/0OX7-V24JGDkmf"; ## SECRET-DATA
}
}
profile dot1x-auth {
authentication-order radius;
}
profile authp {
authentication-order radius;
radius {
authentication-server 10.204.96.165;
}
}
user@switch# show interfaces
ge-0/0/8 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members data;
}
}
}
}
user@switch# show protocols
dot1x {
authenticator {
authentication-profile-name authp;
interface {
ge-0/0/8.0 {
supplicant multiple;
mac-radius;
}
}
}
}
user@switch# show switch-options
voip {
interface ge-0/0/8.0 {
vlan voip;
}
}
user@switch# show vlans
community {
vlan-id 20;
private-vlan community;
}
community-one {
vlan-id 30;
private-vlan community;
}
data {
vlan-id 43;
}
isolated {
vlan-id 200;
private-vlan isolated;
}
pvlan {
vlan-id 2000;
isolated-vlan isolated;
community-vlans [community community-one];
}
voip {
vlan-id 33;
}
Verifizierung
- Stellen Sie sicher, dass die MAC-Adressen des Clients im primären VLAN gelernt wurden.
- Stellen Sie sicher, dass das primäre VLAN ein authentifiziertes VLAN ist
Stellen Sie sicher, dass die MAC-Adressen des Clients im primären VLAN gelernt wurden.
Zweck
Zeigen Sie an, dass eine Client-MAC-Adresse im primären VLAN gelernt wurde.
Action!
user@switch> show ethernet-switching table
MAC flags (S - static MAC, D - dynamic MAC, L - locally learned, P - Persistent static, C - Control MAC, SE - statistics enabled, NM - non configured MAC, R - remote PE MAC, O - ovsdb MAC)
Ethernet switching table : 1 entries, 1 learned
Routing instance : default-switch
Vlan MAC MAC Age Logical NH RTR
name address flags interface Index ID
pvlan 00:30:48:8C:66:BD D - ge-0/0/8.0 0 0 Stellen Sie sicher, dass das primäre VLAN ein authentifiziertes VLAN ist
Zweck
Zeigen Sie, dass das primäre VLAN als authentifiziertes VLAN angezeigt wird.
Action!
user@switch> show dot1x interface ge-0/0/8.0 detail
ge-0/0/8.0
Role: Authenticator
Administrative state: Auto
Supplicant mode: Multiple
Number of retries: 3
Quiet period: 60 seconds
Transmit period: 30 seconds
Mac Radius: Enabled
Mac Radius Strict: Disabled
Reauthentication: Enabled Reauthentication interval: 40 seconds
Supplicant timeout: 30 seconds
Server timeout: 30 seconds
Maximum EAPOL requests: 1
Guest VLAN member: <not configured>
Number of connected supplicants: 1
Supplicant: user5, 00:30:48:8C:66:BD
Operational state: Authenticated
Authentication method: Radius
Authenticated VLAN: pvlan
Reauthentication due in 17 secondsZugriffsport-Sicherheit für private VLANs einrichten
- Grundlegendes zur Zugriffsportsicherheit in PVLANs
- Konfigurationsrichtlinien für das Einrichten von Sicherheitsfunktionen für Zugriffsports in PVLANs
- Beispiel: Konfigurieren der Zugriffsportsicherheit in einem PVLAN
Grundlegendes zur Zugriffsportsicherheit in PVLANs
Sie können jetzt Sicherheitsfunktionen für Zugriffsports, wie DHCP-Snooping, in privaten VLANs (PVLANs) aktivieren.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Mit der PVLAN-Funktion können Sie eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufteilen, wodurch im Wesentlichen ein VLAN in ein VLAN eingefügt wird.
Ethernet-LANs sind anfällig für Angriffe wie Adress-Spoofing (Forging) und Layer 2 Denial of Service (DoS) auf Netzwerkgeräte. Die folgenden Sicherheitsfunktionen für Zugriffsports tragen dazu bei, Ihr Gerät vor Informations- und Produktivitätsverlusten zu schützen, die durch solche Angriffe verursacht werden können, und Sie können diese Sicherheitsfunktionen jetzt auf einem PVLAN konfigurieren:
DHCP-Snooping: Filtert und blockiert eingehende DHCP-Servernachrichten an nicht vertrauenswürdigen Ports. DHCP-Snooping erstellt und verwaltet eine Datenbank mit DHCP-Leaseinformationen, die als DHCP-Snooping-Datenbank bezeichnet wird.
DHCPv6-Snooping: DHCP-Snooping für IPv6.
DHCP-Option 82 - Wird auch als DHCP-Relay-Agent-Informationsoption bezeichnet. Schützt den Switch vor Angriffen wie Spoofing von IP- und MAC-Adressen und DHCP-IP-Adressenverlust. Option 82 stellt Informationen über den Netzwerkstandort eines DHCP-Clients bereit. Der DHCP-Server verwendet diese Informationen, um IP-Adressen oder andere Parameter für den Client zu implementieren.
DHCPv6-Optionen:
Option 37 – Remote-ID-Option für DHCPv6; fügt Informationen über den Netzwerkstandort des Remote-Hosts in DHCPv6-Pakete ein.
Option 18 – Circuit-ID-Option für DHCPv6; fügt Informationen über den Client-Port in DHCPv6-Pakete ein.
Option 16 – Anbieter-ID-Option für DHCPv6; fügt Informationen über den Hersteller der Client-Hardware in DHCPv6-Pakete ein.
Dynamic ARP Inspection (DAI) – Verhindert ARP-Spoofing-Angriffe (Address Resolution Protocol). ARP-Anfragen und -Antworten werden mit Einträgen in der DHCP-Snooping-Datenbank verglichen, und Filterentscheidungen werden auf der Grundlage der Ergebnisse dieser Vergleiche getroffen.
IP-Quellschutz – Mildert die Auswirkungen von IP-Adressen-Spoofing-Angriffen auf das Ethernet-LAN; Überprüft die Quell-IP-Adresse in dem Paket, das von einer nicht vertrauenswürdigen Zugriffsschnittstelle gesendet wird, anhand der DHCP-Snooping-Datenbank. Wenn das Paket nicht validiert werden kann, wird es verworfen.
IPv6-Quellwächter: IP-Quellwächter für IPv6.
IPv6 Neighbor Discovery Inspection: Verhindert IPv6-Adressen-Spoofing-Angriffe; vergleicht Nachbarerkennungsanforderungen und -antworten mit Einträgen in der DHCPv6-Snooping-Datenbank, und Filterentscheidungen werden auf der Grundlage der Ergebnisse dieser Vergleiche getroffen.
Dieses Dokument enthält keine detaillierten Informationen zu Zugriffsport-Sicherheitsfunktionen oder PVLANs. Diese Details finden Sie in der Featuredokumentation, die für diese einzelnen Features spezifisch ist. Informationen zur Sicherheit von Zugriffsports finden Sie im Administratorhandbuch für Sicherheitsdienste. Informationen zu PVLANs finden Sie im Ethernet-Switching-Benutzerhandbuch.
Konfigurationsrichtlinien für das Einrichten von Sicherheitsfunktionen für Zugriffsports in PVLANs
Beachten Sie die folgenden Richtlinien und Einschränkungen für die Konfiguration der Sicherheitsfunktionen für Zugriffsports in PVLANs:
Sie müssen dieselben Zugriffsport-Sicherheitsfunktionen sowohl auf das primäre VLAN als auch auf alle sekundären VLANs anwenden.
Ein PVLAN kann nur über eine integrierte Routing- und Bridging-Schnittstelle (IRB) verfügen, und die IRB-Schnittstelle muss sich im primären VLAN befinden.
Die Einschränkungen für Zugriffsport-Sicherheitskonfigurationen in PVLANs sind die gleichen wie für Konfigurationen für Zugriffsport-Sicherheitsfunktionen, die nicht in PVLANs enthalten sind. Weitere Informationen finden Sie in der Dokumentation zur Sicherheit des Zugriffsports im Administrationshandbuch für Sicherheitsdienste.
Beispiel: Konfigurieren der Zugriffsportsicherheit in einem PVLAN
Anforderungen
Junos OS Version 18.2R1 oder höher
EX4300-Switch
Überblick
Der folgende Konfigurationsabschnitt zeigt:
Konfiguration eines privaten VLANs mit dem primären VLAN (
vlan-pri) und seinen drei sekundären VLANs – Community-VLANs (vlan-hrundvlan-finance) und isolierten VLAN (vlan-iso).Konfiguration der Schnittstellen, die zum Senden der Kommunikation zwischen den Schnittstellen in diesen VLANs verwendet werden.
Konfiguration der Zugriffssicherheitsfunktionen in den primären und sekundären VLANs, aus denen das PVLAN besteht.
Tabelle 5 Listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
GE-0/0/0.0 |
Primäre VLAN-Trunk-Schnittstelle (vlan1-pri) |
GE-0/0/11.0 |
Benutzer 1, HR-Community (vlan-hr) |
GE-0/0/12.0 |
Benutzer 2, HR-Community (vlan-hr) |
GE-0/0/13.0 |
Benutzer 3, Finanz-Community (vlan-finance) |
GE-0/0/14.0 |
Benutzer 4, Finanz-Community (vlan-finance) |
GE-0/0/15.0 |
E-Mail-Server, isoliert (vlan-iso) |
GE-0/0/16.0 |
Backup-Server, isoliert (vlan-iso) |
GE-1/0/0.0 |
Primäre VLAN-Trunk-Schnittstelle (VLAN-PRI) |
Konfigurieren der Zugriffsportsicherheit in einem PVLAN
Verfahren
CLI-Schnellkonfiguration
set vlans vlan-pri vlan-id 100 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-pri community-vlan vlan-hr set vlans vlan-pri community-vlan vlan-finance set vlans vlan-pri isolated-vlan vlan-iso set interfaces ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interfaces ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interfaces ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interfaces ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interfaces ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interfaces ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interfaces ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set vlans vlan-pri forwarding-options dhcp-security arp-inspection set vlans vlan-pri forwarding-options dhcp-security ip-source-guard set vlans vlan-pri forwarding-options dhcp-security ipv6-source-guard set vlans vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-pri forwarding-options dhcp-security option-82 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-hr forwarding-options dhcp-security arp-inspection set vlans vlan-hr forwarding-options dhcp-security ip-source-guard set vlans vlan-hr forwarding-options dhcp-security ipv6-source-guard set vlans vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-hr forwarding-options dhcp-security option-82 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-finance forwarding-options dhcp-security arp-inspection set vlans vlan-finance forwarding-options dhcp-security ip-source-guard set vlans vlan-finance forwarding-options dhcp-security ipv6-source-guard set vlans vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-finance forwarding-options dhcp-security option-82 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay set vlans vlan-iso forwarding-options dhcp-security arp-inspection set vlans vlan-iso forwarding-options dhcp-security ip-source-guard set vlans vlan-iso forwarding-options dhcp-security ipv6-source-guard set vlans vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection set vlans vlan-iso forwarding-options dhcp-security option-82 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 set vlans vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein privates VLAN (PVLAN) und konfigurieren dann die Sicherheitsfunktionen für den Zugriffsport in diesem PVLAN:
Konfigurieren Sie das PVLAN - Erstellen Sie das primäre VLAN und seine sekundären VLANs und weisen Sie ihnen VLAN-IDs zu. Verknüpfen Sie Schnittstellen mit den VLANs. (Weitere Informationen zur Konfiguration von VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie mit ELS-Unterstützung (CLI-Verfahren).)
[edit vlans] user@switch# set vlan-pri vlan-id 100 user@switch# set vlan-hr private-vlan community vlan-id 200 user@switch# set vlan-finance private-vlan community vlan-id 300 user@switch# set vlan-iso private-vlan isolated vlan-id 400 user@switch# set vlan-pri community-vlan vlan-hr user@switch# set vlan-pri community-vlan vlan-finance user@switch# set vlan-pri isolated-vlan vlan-iso
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Konfigurieren Sie die Sicherheitsfunktionen für den Zugriffsport im primären VLAN und allen sekundären VLANs:
HINWEIS:Wenn Sie die Optionen ARP-Überprüfung, IP-Quellschutz, IPv6-Quellschutz, Neighbor Discovery-Überprüfung, DHCP-Option 82 oder DHCPv6-Optionen konfigurieren, werden DHCP-Snooping und DHCPv6-Snooping automatisch konfiguriert.
[edit vlans] user@switch# set vlan-pri forwarding-options dhcp-security arp-inspection user@switch# set vlan-pri forwarding-options dhcp-security ip-source-guard user@switch# set vlan-pri forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-pri forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-pri forwarding-options dhcp-security option-82 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-pri forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-hr forwarding-options dhcp-security arp-inspection user@switch# set vlan-hr forwarding-options dhcp-security ip-source-guard user@switch# set vlan-hr forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-hr forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-hr forwarding-options dhcp-security option-82 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-hr forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-finance forwarding-options dhcp-security arp-inspection user@switch# set vlan-finance forwarding-options dhcp-security ip-source-guard user@switch# set vlan-finance forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-finance forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-finance forwarding-options dhcp-security option-82 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-finance forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay user@switch# set vlan-iso forwarding-options dhcp-security arp-inspection user@switch# set vlan-iso forwarding-options dhcp-security ip-source-guard user@switch# set vlan-iso forwarding-options dhcp-security ipv6-source-guard user@switch# set vlan-iso forwarding-options dhcp-security neighbor-discovery-inspection user@switch# set vlan-iso forwarding-options dhcp-security option-82 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options option-16 user@switch# set vlan-iso forwarding-options dhcp-security dhcpv6-options light-weight-dhcpv6-relay
Ergebnisse
Bestätigen Sie im Konfigurationsmodus Ihre Konfiguration, indem Sie die folgenden show Befehle auf dem Switch eingeben. Wenn die Ausgabe nicht die gewünschte Konfiguration anzeigt, wiederholen Sie die Anweisungen in diesem Beispiel, um die Konfiguration zu korrigieren.
[edit]
user@switch# show interfaces
ge-0/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
interface-mode trunk;
vlan {
members vlan-pri;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-hr;
}
}
}
}
ge-0/0/15 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
ge-0/0/16 {
unit 0 {
family ethernet-switching {
interface-mode access;
vlan {
members vlan-iso;
}
}
}
}
user@switch# show vlans
vlan-finance {
vlan-id 300;
private-vlan community;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-hr {
vlan-id 200;
private-vlan community;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-iso {
vlan-id 400;
private-vlan isolated;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
vlan-pri {
vlan-id 100;
community-vlan vlan-finance;
community-vlan vlan-hr;
isolated-vlan vlan-iso;
interface {
ge-0/0/0.0;
ge-1/0/0.0;
}
forwarding-options {
dhcp-security {
arp-inspection;
ip-source-guard;
neighbor-discovery-inspection;
ipv6-source-guard;
option-82;
dhcpv6-options light-weight-dhcpv6-relay;
dhcpv6-options option-16;
}
}
}
Verifizierung
Vergewissern Sie sich, dass die Zugriffssicherheitsfunktionen wie erwartet funktionieren.
Zweck
Stellen Sie sicher, dass die Sicherheitsfunktionen für Zugriffsports, die Sie in Ihrem PVLAN konfiguriert haben, wie erwartet funktionieren.
Action!
Verwenden Sie die show dhcp-security Befehle und die clear dhcp-security CLI-Befehle, um zu überprüfen, ob die Funktionen wie erwartet funktionieren. Ausführliche Informationen zu diesen Befehlen finden Sie im Administratorhandbuch für Sicherheitsdienste.
Erstellen eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung (CLI-Verfahren)
Diese Aufgabe verwendet Junos OS für Switches mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS). Wenn auf Ihrem Switch der EX-Serie Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie (CLI-Verfahren). Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Private VLANs werden auf QFX5100-Switches und QFX10002-Switches mit Junos OS Version 15.1X53 nicht unterstützt.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken oder die Kommunikation zwischen bekannten Hosts einzuschränken. Private VLANs (PVLANs) ermöglichen es Ihnen, eine Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Subdomänen (sekundäre VLANs) aufzuteilen, wodurch im Wesentlichen ein VLAN in ein VLAN eingefügt wird. In diesem Verfahren wird beschrieben, wie ein PVLAN auf einem einzelnen Switch erstellt wird.
Sie müssen für jedes sekundäre VLAN eine VLAN-ID angeben, auch wenn das PVLAN auf einem einzelnen Switch konfiguriert ist.
Sie müssen das primäre VLAN nicht vorkonfigurieren. Dieses Thema zeigt das primäre VLAN, das im Rahmen dieses PVLAN-Konfigurationsverfahrens konfiguriert wird.
Eine Liste der Richtlinien zur Konfiguration von PVLANs finden Sie unter Grundlegendes zu privaten VLANs.
So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:
Erstellen eines privaten VLANs auf einem einzelnen QFX-Switch ohne ELS-Unterstützung
Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung (CLI-Verfahren).
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) ermöglicht es Ihnen, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wobei im Wesentlichen ein sekundäres VLAN in ein primäres VLAN eingefügt wird. In diesem Thema wird beschrieben, wie ein PVLAN auf einem einzelnen Switch konfiguriert wird.
Bevor Sie beginnen, konfigurieren Sie die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Sie müssen das primäre VLAN nicht vorkonfigurieren – es wird im Rahmen dieses Verfahrens konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt die Funktion nicht, wenn Sie die sekundären VLANS taggen, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzelnen Switch konfiguriert sind.
Beachten Sie bei der Konfiguration eines PVLANs die folgenden Regeln:
-
Das primäre VLAN muss ein getaggtes VLAN sein.
-
Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren. Sie müssen auch das primäre VLAN mit der pvlan-Anweisung als privat konfigurieren.
-
Wenn Sie ein isoliertes VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge ausführen, verstoßen Sie nicht gegen diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:
Erstellen eines privaten VLANs auf einem einzelnen Switch der EX-Serie ohne ELS-Unterstützung (CLI-Verfahren)
Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLAN auf einem einzelnen Switch mit ELS-Unterstützung (CLI-Verfahren).
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) auf Switches der EX-Serie ermöglicht es Ihnen, eine Broadcast-Domain, die auch als primäres VLAN bezeichnet wird, in mehrere isolierte Broadcast-Subdomains aufzuteilen, die auch als sekundäre VLANs bezeichnet werden. Durch die Aufteilung des primären VLANs in sekundäre VLANs wird ein VLAN im Wesentlichen in einem anderen VLAN verschachtelt. In diesem Thema wird beschrieben, wie ein PVLAN auf einem einzelnen Switch konfiguriert wird.
Bevor Sie beginnen, konfigurieren Sie die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Im Gegensatz zu den sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfigurieren – dieses Verfahren bietet die vollständige Konfiguration des primären VLANs.) Obwohl Tags nicht benötigt werden, wenn ein sekundäres VLAN auf einem einzelnen Switch konfiguriert ist, wirkt sich die Konfiguration eines sekundären VLANs als getaggt nicht negativ auf seine Funktionalität aus. Anweisungen zur Konfiguration der sekundären VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Beachten Sie diese Regeln, wenn Sie ein PVLAN auf einem einzelnen Switch konfigurieren:
Das primäre VLAN muss ein getaggtes VLAN sein.
Die Konfiguration eines VoIP-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
So konfigurieren Sie ein privates VLAN auf einem einzelnen Switch:
Isolierte VLANs werden im Rahmen dieses Prozesses nicht konfiguriert. Stattdessen werden sie intern erstellt, wenn no-local-switching sie im primären VLAN aktiviert sind und das isolierte VLAN Zugriffsschnittstellen als Mitglieder hat.
Informationen zum optionalen Aktivieren des Routings zwischen isolierten und Community-VLANs durch die Verwendung einer gerouteten VLAN-Schnittstelle (RVI) anstelle eines promiskuitiven Ports, der mit einem Router verbunden ist, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Nur ein EX8200-Switch oder ein virtuelles EX8200-Chassis unterstützen die Verwendung eines RVI zum Routing von Layer-3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne.
Erstellen eines privaten VLANs, das mehrere Switches der QFX-Serie ohne ELS-Unterstützung umfasst
Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs, das sich über mehrere Switches der EX-Serie mit ELS-Unterstützung erstreckt (CLI-Verfahren).
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) ermöglicht es Ihnen, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wobei im Wesentlichen ein sekundäres VLAN in ein primäres VLAN eingefügt wird. In diesem Thema wird beschrieben, wie ein PVLAN so konfiguriert wird, dass es sich über mehrere Switches erstreckt.
Bevor Sie beginnen, konfigurieren Sie die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Sie müssen das primäre VLAN nicht vorkonfigurieren – es wird im Rahmen dieses Verfahrens konfiguriert.) Sie müssen keine VLAN-IDs (Tags) für die sekundären VLANs erstellen. Es beeinträchtigt die Funktion nicht, wenn Sie die sekundären VLANS taggen, aber Tags werden nicht verwendet, wenn sekundäre VLANs auf einem einzelnen Switch konfiguriert sind.
Für die Erstellung von PVLANs gelten die folgenden Regeln:
-
Das primäre VLAN muss ein getaggtes VLAN sein.
-
Wenn Sie ein Community-VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren. Sie müssen auch das primäre VLAN mit der pvlan-Anweisung als privat konfigurieren.
-
Wenn Sie ein isoliertes VLAN konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie Ihre Konfigurationsschritte in der angezeigten Reihenfolge ausführen, verstoßen Sie nicht gegen diese PVLAN-Regeln. So konfigurieren Sie ein privates VLAN für mehrere Switches:
Erstellen eines privaten VLANs, das mehrere Switches der EX-Serie mit ELS-Unterstützung umfasst (CLI-Verfahren)
Diese Aufgabe verwendet Junos OS für Switches der EX-Serie mit Unterstützung für den Konfigurationsstil Enhanced Layer 2 Software (ELS) Wenn auf Ihrem Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs mit mehreren Switches der EX-Serie (CLI-Verfahren). Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Private VLANs werden auf QFX5100-Switches und QFX10002-Switches mit Junos OS Version 15.1X53 nicht unterstützt.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken oder die Kommunikation zwischen bekannten Hosts einzuschränken. Private VLANs (PVLANs) ermöglichen es Ihnen, eine Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Subdomänen (sekundäre VLANs) aufzuteilen, wodurch im Wesentlichen ein VLAN in ein VLAN eingefügt wird. In diesem Verfahren wird beschrieben, wie ein PVLAN so konfiguriert wird, dass es sich über mehrere Switches erstreckt.
Eine Liste der Richtlinien zur Konfiguration von PVLANs finden Sie unter Grundlegendes zu privaten VLANs.
Um ein PVLAN so zu konfigurieren, dass es sich über mehrere Switches erstreckt, gehen Sie auf allen Switches, die am PVLAN teilnehmen, wie folgt vor:
Erstellen eines privaten VLANs, das sich über mehrere Switches der EX-Serie ohne ELS-Unterstützung erstreckt (CLI-Verfahren)
Wenn auf Ihrem Switch Software ausgeführt wird, die ELS unterstützt, finden Sie weitere Informationen unter Erstellen eines privaten VLANs, das sich über mehrere Switches der EX-Serie mit ELS-Unterstützung erstreckt (CLI-Verfahren).
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) auf Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domain, die auch als primäres VLAN bezeichnet wird, in mehrere isolierte Broadcast-Subdomains aufzuteilen, die auch als sekundäre VLANs bezeichnet werden. Durch die Aufteilung des primären VLANs in sekundäre VLANs wird ein VLAN im Wesentlichen in einem anderen VLAN verschachtelt. In diesem Thema wird beschrieben, wie ein PVLAN so konfiguriert wird, dass es sich über mehrere Switches erstreckt.
Bevor Sie beginnen, konfigurieren Sie die Namen für alle sekundären VLANs, die Teil des primären VLANs sein werden. (Im Gegensatz zu den sekundären VLANs müssen Sie das primäre VLAN nicht vorkonfigurieren – dieses Verfahren bietet die vollständige Konfiguration des primären VLANs.) Anweisungen zur Konfiguration der sekundären VLANs finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Für die Erstellung von PVLANs gelten die folgenden Regeln:
-
Das primäre VLAN muss ein getaggtes VLAN sein.
-
Sie müssen das primäre VLAN und den PVLAN-Trunk-Port konfigurieren, bevor Sie die sekundären VLANs konfigurieren.
-
Die Konfiguration eines VoIP-VLAN auf PVLAN-Schnittstellen wird nicht unterstützt.
-
Wenn das Multiple VLAN Registration Protocol (MVRP) auf dem PVLAN-Trunk-Port konfiguriert ist, muss die Konfiguration der sekundären VLANs und des PVLAN-Trunk-Ports mit demselben Commit-Vorgang festgeschrieben werden.
So konfigurieren Sie ein privates VLAN für mehrere Switches:
Informationen zum optionalen Aktivieren des Routings zwischen isolierten und Community-VLANs durch die Verwendung einer gerouteten VLAN-Schnittstelle (RVI) anstelle eines promiskuitiven Ports, der mit einem Router verbunden ist, finden Sie unter Konfigurieren einer gerouteten VLAN-Schnittstelle in einem privaten VLAN auf einem Switch der EX-Serie.
Nur ein EX8200-Switch oder ein virtuelles EX8200-Chassis unterstützen die Verwendung eines RVI zum Routing von Layer-3-Datenverkehr zwischen isolierten und Community-VLANs in einer PVLAN-Domäne.
Beispiel: Konfigurieren eines privaten VLANs auf einem einzelnen Switch mit ELS-Unterstützung
In diesem Beispiel wird Junos OS für Switches verwendet, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) unterstützen. Wenn auf Ihrem EX-Switch Software ausgeführt wird, die ELS nicht unterstützt, finden Sie weitere Informationen unter Beispiel: Konfigurieren eines privaten VLANs auf einem einzelnen Switchder EX-Serie. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Private VLANs werden auf QFX5100-Switches und QFX10002-Switches mit Junos OS Version 15.1X53 nicht unterstützt.
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken oder die Kommunikation zwischen bekannten Hosts einzuschränken. Private VLANs (PVLANs) ermöglichen es Ihnen, eine Broadcast-Domäne (primäres VLAN) in mehrere isolierte Broadcast-Subdomänen (sekundäre VLANs) aufzuteilen, wodurch im Wesentlichen ein VLAN in ein VLAN eingefügt wird.
In diesem Beispiel wird beschrieben, wie ein PVLAN auf einem einzelnen Switch erstellt wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Junos OS-Switch
Junos OS Version 14.1X53-D10 oder höher für Switches der EX-Serie
Junos OS Version 14.1X53-D15 oder höher für Switches der QFX-Serie
Übersicht und Topologie
Sie können Gruppen von Abonnenten isolieren, um die Sicherheit und Effizienz zu verbessern. In diesem Konfigurationsbeispiel wird anhand einer einfachen Topologie veranschaulicht, wie ein PVLAN mit einem primären VLAN und drei sekundären VLANs (ein isoliertes VLAN und zwei Community-VLANs) erstellt wird.
Tabelle 6 Listet die Schnittstellen der im Beispiel verwendeten Topologie auf.
| Schnittstelle | Beschreibung |
|---|---|
|
Promiskuitive Mitglieder-Ports |
|
VLAN-Mitglieder-Ports der HR-Community |
|
VLAN-Mitglieder-Ports der Finanz-Community |
|
Isolierte Mitgliedsports |
Tabelle 7 listet die VLAN-IDs der im Beispiel verwendeten Topologie auf.
| VLAN-ID | Beschreibung |
|---|---|
|
Primäres VLAN |
|
HR-Community-VLAN |
|
VLAN der Finanz-Community |
|
Isoliertes VLAN |
Abbildung 16 zeigt die Topologie für dieses Beispiel.
Konfiguration
Sie können ein bestehendes VLAN als Basis für Ihr privates PVLAN verwenden und darin Subdomains erstellen. In diesem Beispiel wird im Rahmen des Verfahrens ein primäres VLAN unter Verwendung des VLAN-Namens vlan-prierstellt.
Um ein PVLAN zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans vlan-pri vlan-id 100 set vlans vlan-iso private-vlan isolated vlan-id 400 set vlans vlan-hr private-vlan community vlan-id 200 set vlans vlan-finance private-vlan community vlan-id 300 set vlans vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance set interface ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr set interface ge-0/0/12 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-hr set interface ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance set interface ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance set interface ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/16 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso set interface ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri set interface ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das PVLAN:
Erstellen Sie das primäre VLAN (in diesem Beispiel lautet vlan-prider Name ) des privaten VLANs:
[edit vlans] user@switch# set vlan-pri vlan-id 100
Erstellen Sie ein isoliertes VLAN und weisen Sie ihm eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-iso private-vlan isolated vlan-id 400
Erstellen Sie das HR-Community-VLAN und weisen Sie ihm eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-hr private-vlan community vlan-id 200
Erstellen Sie das VLAN der Finanz-Community, und weisen Sie ihm eine VLAN-ID zu:
[edit vlans] user@switch# set vlan-finance private-vlan community vlan-id 300
Ordnen Sie die sekundären VLANs dem primären VLAN zu:
[edit vlans] user@switch# set vlan-pri vlan-id 100 isolated-vlan vlan-iso community-vlan vlan-hr community-vlan vlan-finance
Setzen Sie die Schnittstellen auf die entsprechenden Schnittstellenmodi:
[edit interfaces] user@switch# set ge-0/0/11 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/12 unit 0 family ethernet-switching interface-mode access vlan members vlan-hr user@switch# set ge-0/0/13 unit 0 family ethernet-switching interface-mode access vlan members vlan-finance user@switch# set ge-0/0/14 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-finance user@switch# set ge-0/0/15 unit 0 family ethernet-switching interface-mode access vlan members vlan-iso user@switch# set ge-0/0/16 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-iso
Konfigurieren Sie eine Promiscuous-Trunk-Schnittstelle des primären VLANs. Diese Schnittstelle wird vom primären VLAN verwendet, um mit den sekundären VLANs zu kommunizieren.
user@switch# set ge-0/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Konfigurieren Sie eine weitere Trunk-Schnittstelle (es handelt sich ebenfalls um eine promiskuitive Schnittstelle) des primären VLANs und verbinden Sie das PVLAN mit dem Router.
user@switch# set ge-1/0/0 unit 0 family ethernet-switching interface-mode trunk vlan members vlan-pri
Beispiel: Konfigurieren eines privaten VLANs auf einem einzelnen Switch der QFX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wodurch ein VLAN im Wesentlichen in ein VLAN eingefügt wird.
In diesem Beispiel wird beschrieben, wie ein PVLAN auf einem einzelnen Switch erstellt wird:
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein QFX3500 Gerät
Junos OS Version 12.1 oder höher für die QFX-Serie
Bevor Sie mit der Konfiguration eines PVLANs beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Siehe Konfiguration von VLANs auf QFX-Switches ohne erweiterten Layer-2-Support.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise einige Arbeitsgruppen oder andere Endpunkte aus Sicherheitsgründen oder zur Partitionierung der Broadcast-Domäne isolieren. Dieses Konfigurationsbeispiel zeigt eine einfache Topologie, um zu veranschaulichen, wie ein PVLAN mit einem primären VLAN und zwei Community-VLANs, eines für HR und eines für Finanzen, sowie zwei isolierten Ports – einer für den Mailserver und der andere für den Backup-Server – erstellt wird.
Tabelle 8 Listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
|
Primäre VLAN-Trunk-Schnittstelle |
|
Benutzer 1, HR-Community ( |
|
Benutzer 2, HR-Community ( |
|
Benutzer 3, Finanz-Community ( |
|
Benutzer 4, Finanz-Community ( |
|
Mailserver, Isoliert ( |
|
Backup-Server, isoliert ( |
|
Primäre VLAN-Trunk-Schnittstelle |
Konfiguration
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans pvlan100 vlan-id 100 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans pvlan100 pvlan set vlans pvlan100 interface ge-0/0/0.0 set vlans pvlan100 interface ge-1/0/0.0 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans finance-comm primary-vlan pvlan100 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das PVLAN:
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan vlan-id 100
Legen Sie die Schnittstellen und Portmodi fest:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Stellen Sie das primäre VLAN so ein, dass es kein lokales Switching hat:
HINWEIS:Das primäre VLAN muss ein getaggtes VLAN sein.
[edit vlans] user@switch# set pvlan100 pvlan
Fügen Sie die Trunk-Schnittstellen zum primären VLAN hinzu:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 user@switch# set pvlan100 interface ge-1/0/0.0
Konfigurieren Sie für jedes sekundäre VLAN die Zugriffsschnittstellen:
HINWEIS:Es wird empfohlen, dass es sich bei den sekundären VLANs um nicht getaggte VLANs handelt. Es beeinträchtigt die Funktion nicht, wenn Sie die sekundären VLANs markieren. Die Tags werden jedoch nicht verwendet, wenn ein sekundäres VLAN auf einem einzelnen Switch konfiguriert ist.
[edit vlans] user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Legen Sie für jedes Community-VLAN das primäre VLAN fest:
[edit vlans] user@switch# set hr-comm primary-vlan pvlan100 user@switch# set finance-comm primary-vlan pvlan100
Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching;
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
hr-comm {
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
pvlan;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob das private VLAN und die sekundären VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf dem Switch erstellt wurden.
Action!
Verwenden Sie den show vlans Befehl:
user@switch> show vlans pvlan100 extensive
VLAN: pvlan100, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 100, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__pvlan_pvlan_ge-0/0/15.0__
__pvlan_pvlan_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/15.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __pvlan_pvlan_ge-0/0/16.0__ extensive
VLAN: __pvlan_pvlan_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkBedeutung
Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde, und identifiziert die Schnittstellen und sekundären VLANs, die ihm zugeordnet sind.
Beispiel: Konfigurieren eines privaten VLANs auf einem einzelnen Switch der EX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) der Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wodurch im Wesentlichen ein VLAN in ein VLAN eingefügt wird.
In diesem Beispiel wird beschrieben, wie ein PVLAN auf einem einzelnen Switch der EX-Serie erstellt wird:
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Ein Switch der EX-Serie
Junos OS Version 9.3 oder höher für Switches der EX-Serie
Bevor Sie mit der Konfiguration eines PVLANs beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise einige Arbeitsgruppen oder andere Endpunkte aus Sicherheitsgründen oder zur Partitionierung der Broadcast-Domäne isolieren. Dieses Konfigurationsbeispiel zeigt eine einfache Topologie, um zu veranschaulichen, wie ein PVLAN mit einem primären VLAN und zwei Community-VLANs, eines für HR und eines für Finanzen, sowie zwei isolierten Ports – einer für den Mailserver und der andere für den Backup-Server – erstellt wird.
Tabelle 9 Listet die Einstellungen für die Beispieltopologie auf.
| Schnittstelle | Beschreibung |
|---|---|
ge-0/0/0.0 |
Primäre VLAN-Trunk-Schnittstellevlan1() |
ge-0/0/11.0 |
Benutzer 1, HR-Community (hr-comm) |
ge-0/0/12.0 |
Benutzer 2, HR-Community (hr-comm) |
ge-0/0/13.0 |
Benutzer 3, Finanz-Community (finance-comm) |
ge-0/0/14.0 |
Benutzer 4, Finanz-Community (finance-comm) |
ge-0/0/15.0 |
Mailserver, Isoliert (isolated) |
ge-0/0/16.0 |
Backup-Server, isoliert (isolated) |
ge-1/0/0.0 |
Primäre VLAN-Trunk-Schnittstelle pvlan() |
Abbildung 17 zeigt die Topologie für dieses Beispiel.
Konfiguration
Um ein PVLAN zu konfigurieren, führen Sie die folgenden Aufgaben aus:
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Switch-Terminal-Fenster ein:
[edit] set vlans vlan1 vlan-id 1000 set interfaces ge-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-0/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-1/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 set interfaces ge-0/0/11 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/12 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/13 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/14 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/15 unit 0 family ethernet-switching port-mode access set interfaces ge-0/0/16 unit 0 family ethernet-switching port-mode access set vlans vlan1 no-local-switching set vlans vlan1 interface ge-0/0/0.0 set vlans vlan1 interface ge-1/0/0.0 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/11.0 set vlans hr-comm interface ge-0/0/12.0 set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/13.0 set vlans finance-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan vlan1 set vlans finance-comm primary-vlan vlan1 set vlans vlan1 interface ge-0/0/15.0 set vlans vlan1 interface ge-0/0/16.0
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie das PVLAN:
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set vlan1 vlan-id 1000
Legen Sie die Schnittstellen und Portmodi fest:
[edit interfaces] user@switch# set ge-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-0/0/0 unit 0 family ethernet-switching vlan members pvlan user@switch# set ge-1/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set ge-1/0/0 unit 0 family ethernet-switching vlan members vlan1 user@switch# set ge-0/0/11 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/12 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/13 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/14 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/15 unit 0 family ethernet-switching port-mode access user@switch# set ge-0/0/16 unit 0 family ethernet-switching port-mode access
Stellen Sie das primäre VLAN so ein, dass es kein lokales Switching hat:
HINWEIS:Das primäre VLAN muss ein getaggtes VLAN sein.
[edit vlans] user@switch# set vlan1 no-local-switching
Fügen Sie die Trunk-Schnittstellen zum primären VLAN hinzu:
[edit vlans] user@switch# set vlan1 interface ge-0/0/0.0 user@switch# set vlan1 interface ge-1/0/0.0
Konfigurieren Sie für jedes sekundäre VLAN die VLAN-IDs und die Zugriffsschnittstellen:
HINWEIS:Es wird empfohlen, dass es sich bei den sekundären VLANs um nicht getaggte VLANs handelt. Es beeinträchtigt die Funktion nicht, wenn Sie die sekundären VLANs markieren. Die Tags werden jedoch nicht verwendet, wenn ein sekundäres VLAN auf einem einzelnen Switch konfiguriert ist.
[edit vlans] user@switch# set hr-comm vlan-id 400 user@switch# set hr-comm interface ge-0/0/11.0 user@switch# set hr-comm interface ge-0/0/12.0 user@switch# set finance-comm vlan-id 300 user@switch# set finance-comm interface ge-0/0/13.0 user@switch# set finance-comm interface ge-0/0/14.0
Legen Sie für jedes Community-VLAN das primäre VLAN fest:
[edit vlans] user@switch# set hr-comm primary-vlan vlan1 user@switch# set finance-comm primary-vlan vlan1
Fügen Sie jede isolierte Schnittstelle zum primären VLAN hinzu:
[edit vlans] user@switch# set vlan1 interface ge-0/0/15.0 user@switch# set vlan1 interface ge-0/0/16.0
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-1/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan1;
}
}
}
}
ge-0/0/11 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/12 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/13 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
ge-0/0/14 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan vlan1;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan vlan1;
}
vlan1 {
vlan-id 1000;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0;
ge-1/0/0.0;
}
no-local-switching;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
Überprüfen, ob das private VLAN und die sekundären VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf dem Switch erstellt wurden.
Action!
Verwenden Sie den show vlans Befehl:
user@switch> show vlans vlan1 extensive
VLAN: vlan1, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 1000, Internal index: 18, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-0/0/15.0, untagged, access
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunk
Secondary VLANs: Isolated 2, Community 2
Isolated VLANs :
__vlan1_vlan1_ge-0/0/15.0__
__vlan1_vlan1_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
user@switch> show vlans hr-comm extensive
VLAN: hr-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 400,Internal index: 22, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/11.0, untagged, access
ge-0/0/12.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans finance-comm extensive
VLAN: finance-comm, Created at: Tue Sep 16 17:59:47 2008
802.1Q Tag: 300,Internal index: 21, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 2 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/13.0, untagged, access
ge-0/0/14.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/15.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/15.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 19, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/15.0, untagged, access
ge-1/0/0.0, tagged, trunk
user@switch> show vlans __vlan1_vlan1_ge-0/0/16.0__ extensive
VLAN: __vlan1_vlan1_ge-0/0/16.0__, Created at: Tue Sep 16 17:59:47 2008
Internal index: 20, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: vlan1
Protocol: Port Mode
Number of interfaces: Tagged 2 (Active = 0), Untagged 1 (Active = 0)
ge-0/0/0.0, tagged, trunk
ge-0/0/16.0, untagged, access
ge-1/0/0.0, tagged, trunkBedeutung
Die Ausgabe zeigt, dass das primäre VLAN erstellt wurde, und identifiziert die Schnittstellen und sekundären VLANs, die ihm zugeordnet sind.
Beispiel: Konfigurieren eines privaten VLANs mit mehreren QFX-Switches
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wodurch ein VLAN im Wesentlichen in ein VLAN eingefügt wird. Ein PVLAN kann sich über mehrere Switches erstrecken.
In diesem Beispiel wird beschrieben, wie ein PVLAN erstellt wird, das sich über mehrere Switches erstreckt. Im Beispiel wird ein primäres PVLAN erstellt, das mehrere sekundäre VLANs enthält:
- Anforderungen
- Übersicht und Topologie
- Konfigurieren eines PVLANs auf Switch 1
- Konfigurieren eines PVLANs auf Switch 2
- Konfigurieren eines PVLANs auf Switch 3
- Verifizierung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei QFX3500 Geräte
Junos OS Version 12.1 oder höher für die QFX-Serie
Bevor Sie mit der Konfiguration eines PVLANs beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Siehe Konfiguration von VLANs auf QFX-Switches ohne erweiterten Layer-2-Support.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise einige Arbeitsgruppen oder andere Endpunkte aus Sicherheitsgründen oder zur Partitionierung der Broadcast-Domäne isolieren. Dieses Konfigurationsbeispiel zeigt, wie Sie ein PVLAN erstellen, das sich über mehrere QFX-Geräte erstreckt, wobei ein primäres VLAN zwei Community-VLANs (eines für HR und eines für Finanzen) und ein isoliertes Interswitch-VLAN (für den Mailserver, den Backup-Server und den CVS-Server) enthält. Das PVLAN besteht aus drei Switches, zwei Access Switches und einem Distribution Switch. Das PVLAN ist über einen Promiscuous-Port, der auf dem Distribution-Switch konfiguriert ist, mit einem Router verbunden.
Die isolierten Ports auf Switch 1 und Switch 2 verfügen nicht über Layer-2-Konnektivität miteinander, obwohl sie in derselben Domäne enthalten sind. Siehe Grundlegendes zu privaten VLANs.
Abbildung 18 Zeigt die Topologie für dieses Beispiel: Zwei Access Switches, die mit einem Distribution-Switch verbunden sind, der wiederum über einen promiskuitiven Port mit dem Router verbunden ist.
Tabelle 10, Tabelle 11und Tabelle 12 listen Sie die Einstellungen für die Beispieltopologie auf.
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 1 mit Switch 3 ge-0/0/5.0, verbindet Switch 1 mit Switch 2 |
Isolierte Schnittstellen im primären VLAN |
ge-0/0/15.0, Mailserver ge-0/0/16.0, Backup-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 2 mit Switch 3 ge-0/0/5.0, verbindet Switch 2 mit Switch 1 |
Isolierte Schnittstelle im primären VLAN |
ge-0/0/17.0, CVS-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-vlan-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 3 mit Switch 1 ge-0/0/1.0, verbindet Switch 3 mit Switch 2 |
Promiskuitiver Portwein |
ge-0/0/2, verbindet das PVLAN mit dem Router HINWEIS:
Sie müssen den Trunk-Port, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLANs verbindet, als Mitglied des PVLAN konfigurieren, wodurch er implizit als promiskuitiver Port konfiguriert wird. |
Topologie
Konfigurieren eines PVLANs auf Switch 1
Bei der Konfiguration eines PVLANs auf mehreren Switches gelten die folgenden Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein. Es wird empfohlen, zuerst das primäre VLAN zu konfigurieren.
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren. Sie müssen auch das primäre VLAN mit der pvlan-Anweisung als privat konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, das sich über mehrere Switches erstreckt, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/15.0 isolated set pvlan100 interface ge-0/0/16.0 isolated
Verfahren
Schritt-für-Schritt-Anleitung
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunk-Schnittstellen so fest, dass dieses VLAN über benachbarte Switches hinweg verbunden werden soll:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Stellen Sie das primäre VLAN so ein, dass es privat ist und kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die VLAN-ID für das Community-VLAN fest, das finance-comm sich über die Switches erstreckt:
[edit vlans] user@switch# set finance-comm vlan-id 300
Konfigurieren Sie die Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das sich über die Switches erstreckt.
[edit vlans] user@switch# set hr-comm vlan-id 400
Konfigurieren Sie die Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die sich über die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
Konfigurieren Sie die isolierten Schnittstellen im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/15.0 isolated user@switch# set pvlan100 interface ge-0/0/16.0 isolated
HINWEIS:Wenn Sie einen isolierten Port konfigurieren, schließen Sie ihn als Mitglied des primären VLANs ein, aber konfigurieren Sie ihn nicht als Mitglied eines Community-VLANs.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
pvlan;
isolation-vlan-id 50;
}
}
Konfigurieren eines PVLANs auf Switch 2
CLI-Schnellkonfiguration
Um schnell ein privates VLAN zu erstellen und zu konfigurieren, das sich über mehrere Switches erstreckt, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster von Switch 2 ein:
Die Konfiguration von Switch 2 ist identisch mit der Konfiguration von Switch 1, mit Ausnahme der Schnittstelle in der isolierten Domäne des Interswitches. Für Switch 2 ist ge-0/0/17.0die Schnittstelle .
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50 set pvlan100 interface ge-0/0/17.0 isolated
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein PVLAN auf Switch 2, das sich über mehrere Switches erstreckt:
Legen Sie die VLAN-ID für das Community-VLAN fest, das finance-comm sich über die Switches erstreckt:
[edit vlans] user@switch# set finance-comm vlan-id 300
Konfigurieren Sie die Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das sich über die Switches erstreckt.
[edit vlans] user@switch# set hr-comm vlan-id 400
Konfigurieren Sie die Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches hinweg verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Stellen Sie das primäre VLAN so ein, dass es privat ist und kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die sich über die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, schließen Sie ihn als eines der Mitglieder des primären VLANs ein, aber konfigurieren Sie ihn nicht als zu einem der Community-VLANs gehörend.
Konfigurieren Sie die isolierte Schnittstelle im primären VLAN:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/17.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Konfigurieren eines PVLANs auf Switch 3
CLI-Schnellkonfiguration
Um Switch 3 schnell so zu konfigurieren, dass er als Verteiler-Switch dieses PVLANs fungiert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle ge-0/0/2.0 ist ein Trunk-Port, der das PVLAN mit einem Router verbindet.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 pvlan set vlans pvlan100 pvlan isolation-vlan-id 50
Verfahren
Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um Switch 3 so zu konfigurieren, dass er als Verteiler-Switch für dieses PVLAN fungiert:
Legen Sie die VLAN-ID für das Community-VLAN fest, das finance-comm sich über die Switches erstreckt:
[edit vlans] user@switch# finance-comm vlan-id 300
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das sich über die Switches erstreckt:
[edit vlans] user@switch# set hr-comm vlan-id 400
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan-id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches hinweg verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Stellen Sie das primäre VLAN so ein, dass es privat ist und kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 pvlan
Legen Sie die isolierte Interswitch-ID fest, um eine isolierte Interswitch-Domäne zu erstellen, die sich über die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, schließen Sie ihn als eines der Mitglieder des primären VLANs ein, aber konfigurieren Sie ihn nicht als zu einem der Community-VLANs gehörend.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
pvlan;
isolation-vlan-id 50;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 1 erstellt wurden
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 2 erstellt wurden
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 3 erstellt wurden
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 1 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 1 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Das Vorhandensein der Felder pvlan-trunk und Inter-switch-isolated weist darauf hin, dass sich dieses PVLAN über mehr als einen Switch erstreckt.
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 2 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Das Vorhandensein der Felder pvlan-trunk und Inter-switch-isolated weist darauf hin, dass sich dieses PVLAN über mehr als einen Switch erstreckt. Wenn Sie diesen Ausgang mit dem Ausgang von Switch 1 vergleichen, können Sie sehen, dass beide Switches zum selben PVLAN gehören (pvlan100).
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 3 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass das PVLAN (pvlan100) auf Switch 3 konfiguriert ist und dass es keine isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Switch 3 fungiert jedoch als Verteiler-Switch, sodass der Ausgang keine Zugriffsschnittstellen innerhalb des PVLANs enthält. Es werden nur die Schnittstellen angezeigt, die pvlan-trunk von Switch 3 zu den anderen Switches (Switch 1 und Switch 2) im selben PVLAN verbunden sind pvlan100 .
Beispiel: Konfigurieren eines privaten VLANs, das mehrere Switches mit einer IRB-Schnittstelle umfasst
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wodurch ein VLAN im Wesentlichen in ein VLAN eingefügt wird. Ein PVLAN kann sich über mehrere Switches erstrecken. In diesem Beispiel wird beschrieben, wie ein PVLAN erstellt wird, das sich über mehrere Switches erstreckt. Im Beispiel wird ein primäres PVLAN erstellt, das mehrere sekundäre VLANs enthält.
Genau wie normale VLANs sind PVLANs auf Layer 2 isoliert und erfordern normalerweise die Verwendung eines Layer-3-Geräts, wenn Sie den Datenverkehr routen möchten. Ab Junos OS 14.1X53-D30 können Sie eine integrierte Routing- und Bridging-Schnittstelle (IRB) verwenden, um Layer-3-Datenverkehr zwischen Geräten weiterzuleiten, die mit einem PVLAN verbunden sind. Die Verwendung einer IRB-Schnittstelle auf diese Weise kann es den Geräten im PVLAN auch ermöglichen, auf Layer 3 mit Geräten in anderen Community- oder isolierten VLANs oder mit Geräten außerhalb des PVLANs zu kommunizieren. In diesem Beispiel wird auch veranschaulicht, wie eine IRB-Schnittstelle in eine PVLAN-Konfiguration eingebunden wird.
- Anforderungen
- Übersicht und Topologie
- Konfigurationsübersicht
- Konfigurieren eines PVLANs auf Switch 1
- Konfigurieren eines PVLANs auf Switch 2
- Konfigurieren eines PVLANs auf Switch 3
- Verifizierung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei Switches der QFX-Serie oder EX4600
Junos OS-Version mit PVLAN für QFX-Serie oder EX4600
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise einige Arbeitsgruppen oder andere Endpunkte aus Sicherheitsgründen oder zur Partitionierung der Broadcast-Domäne isolieren. Dieses Konfigurationsbeispiel zeigt, wie Sie ein PVLAN erstellen, das sich über mehrere Switches erstreckt, wobei ein primäres VLAN zwei Community-VLANs (eines für HR und eines für Finanzen) und ein isoliertes Interswitch-VLAN (für den Mailserver, den Backup-Server und den CVS-Server) enthält. Das PVLAN besteht aus drei Switches: zwei Access Switches und einem Verteiler-Switch. Die Geräte im PVLAN sind auf Layer 3 miteinander und mit Geräten außerhalb des PVLANs über eine IRB-Schnittstelle verbunden, die auf dem Distribution-Switch konfiguriert ist.
Die isolierten Ports auf Switch 1 und Switch 2 verfügen nicht über Layer-2-Konnektivität miteinander, obwohl sie in derselben Domäne enthalten sind. Siehe Grundlegendes zu privaten VLANs.
Abbildung 19 zeigt die Topologie für dieses Beispiel.
Tabelle 13, Tabelle 14und Tabelle 15 listen Sie die Einstellungen für die Beispieltopologie auf.
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Verbindungsschnittstellen |
|
Isolierte Schnittstellen im primären VLAN |
|
Schnittstellen im VLAN |
|
Schnittstellen im VLAN |
|
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Verbindungsschnittstellen |
|
Isolierte Schnittstelle im primären VLAN |
|
Schnittstellen im VLAN |
|
Schnittstellen im VLAN |
|
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
|
Interswitch-Verbindungsschnittstellen |
|
Promiskuitiver Portwein |
HINWEIS:
Sie müssen den Trunk-Port, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLANs verbindet, als Mitglied des PVLAN konfigurieren, wodurch er implizit als promiskuitiver Port konfiguriert wird. |
IRB-Schnittstelle |
Konfigurieren Sie uneingeschränktes Proxy-ARP auf der IRB-Schnittstelle, um die ARP-Auflösung zu ermöglichen, sodass Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. Bei IPv6-Datenverkehr müssen Sie der Zieladresse explizit eine IRB-Adresse zuordnen, um die ARP-Auflösung zu ermöglichen. |
Topologie
Konfigurationsübersicht
Bei der Konfiguration eines PVLANs auf mehreren Switches gelten die folgenden Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein.
Das primäre VLAN ist das einzige VLAN, das Mitglied einer Interswitch-Verbindungsschnittstelle sein kann.
Bei der Konfiguration einer IRB-Schnittstelle in einem PVLAN gelten die folgenden Regeln:
Sie können nur eine IRB-Schnittstelle in einem PVLAN erstellen, unabhängig davon, wie viele Switches am PVLAN beteiligt sind.
Die IRB-Schnittstelle muss Mitglied des primären VLAN im PVLAN sein.
Jedes Hostgerät, das Sie auf Layer 3 verbinden möchten, muss eine IP-Adresse des IRB als Standard-Gatewayadresse verwenden.
Konfigurieren eines PVLANs auf Switch 1
CLI-Schnellkonfiguration
Um schnell ein PVLAN zu erstellen und zu konfigurieren, das sich über mehrere Switches erstreckt, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/15 unit 0 family ethernet-switching vlan members 50 set interfaces xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Verfahren
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das Community-VLAN für die Finanzorganisation:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Erstellen Sie das Community-VLAN für die HR-Organisation:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Erstellen Sie das isolierte VLAN für die Mail- und Backup-Server:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Erstellen Sie das primäre VLAN und machen Sie die Community und die isolierten VLANs zu Mitgliedern:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Konfigurieren Sie VLAN 300 (das Community-VLAN) so, dass es Mitglied der Schnittstelle xe-0/0/11 ist:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/15:
[edit interfaces] user@switch# set xe-0/0/15 unit 0 family ethernet-switching vlan members 50
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/16:
[edit interfaces] user@switch# set xe-0/0/16 unit 0 family ethernet-switching vlan members 50
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Konfigurieren eines PVLANs auf Switch 2
CLI-Schnellkonfiguration
Um schnell ein privates VLAN zu erstellen und zu konfigurieren, das sich über mehrere Switches erstreckt, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster von Switch 2 ein:
Die Konfiguration von Switch 2 ist mit Ausnahme des isolierten VLANs identisch mit der Konfiguration von Switch 1. Für Switch 2 ist xe-0/0/17.0 die isolierte VLAN-Schnittstelle .
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/5 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/5 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/5 unit 0 family ethernet-switching vlan members 100 set vlans finance-comm vlan-id 300 private-vlan community set vlans hr-comm vlan-id 400 private-vlan community set vlans isolated-vlan vlan-id 50 private-vlan isolated set vlans pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50 set interfaces xe-0/0/11 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/12 unit 0 family ethernet-switching vlan members 300 set interfaces xe-0/0/13 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/14 unit 0 family ethernet-switching vlan members 400 set interfaces xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Verfahren
Schritt-für-Schritt-Anleitung
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das Community-VLAN für die Finanzorganisation:
[edit vlans] set finance-comm vlan-id 300 private-vlan community
Erstellen Sie das Community-VLAN für die HR-Organisation:
[edit vlans] set hr-comm vlan-id 400 private-vlan community
Erstellen Sie das isolierte VLAN für die Mail- und Backup-Server:
[edit vlans] set isolated-vlan vlan-id 50 private-vlan isolated
Erstellen Sie das primäre VLAN und machen Sie die Community und die isolierten VLANs zu Mitgliedern:
[edit vlans] set pvlan100 vlan-id 100 community-vlans [300 400] isolated-vlan 50
Konfigurieren Sie VLAN 300 (das Community-VLAN) so, dass es Mitglied der Schnittstelle xe-0/0/11 ist:
[edit interfaces] user@switch# set xe-0/0/11 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 300 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/12:
[edit interfaces] user@switch# set xe-0/0/12 unit 0 family ethernet-switching vlan members 300
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/13:
[edit interfaces] user@switch# set xe-0/0/13 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 400 (ein Community-VLAN) als Mitglied der Schnittstelle xe-0/0/14:
[edit interfaces] user@switch# set xe-0/0/14 unit 0 family ethernet-switching vlan members 400
Konfigurieren Sie VLAN 50 (das isolierte VLAN) als Mitglied der Schnittstelle xe-0/0/17:
[edit interfaces] user@switch# set xe-0/0/17 unit 0 family ethernet-switching vlan members 50
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
private-vlan community;
}
hr-comm {
vlan-id 400;
private-vlan community;
}
isolated-vlan{
vlan-id 50;
private-vlan isolated;
}
pvlan100 {
vlan-id 100;
isolated-vlan 50;
community-vlans [300 400]
}
}
Konfigurieren eines PVLANs auf Switch 3
CLI-Schnellkonfiguration
Um Switch 3 schnell so zu konfigurieren, dass er als Verteiler-Switch dieses PVLANs fungiert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle xe-0/0/2.0 ist ein Trunk-Port, der das PVLAN mit einem anderen Netzwerk verbindet.
[edit] [edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/0 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/0 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/1 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching inter-switch-link set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members 100 set interfaces xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk set interfaces xe-0/0/2 unit 0 family ethernet-switching vlan members 100 set vlans pvlan100 vlan-id 100 set interfaces irb unit 100 family inet address 192.168.1.1/24 set vlans pvlan100 l3-interface irb.100 set interfaces irb unit 100 proxy-arp unrestricted
Verfahren
Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um Switch 3 so zu konfigurieren, dass er als Verteiler-Switch für dieses PVLAN fungiert:
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/0 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 (das primäre VLAN) als Mitglied der Schnittstelle xe-0/0/0:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Trunk:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie die Schnittstelle xe-0/0/5 als Interswitch-Verbindung, die alle VLANs überträgt:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching inter-switch-link
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/5:
[edit interfaces] user@switch# set xe-0/0/5 unit 0 family ethernet-switching vlan members 100
Konfigurieren Sie die Schnittstelle xe-0/0/2 (die promiskuitive Schnittstelle) als Trunk:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching interface-mode trunk
Konfigurieren Sie pvlan100 als Mitglied der Schnittstelle xe-0/0/2:
[edit interfaces] user@switch# set xe-0/0/2 unit 0 family ethernet-switching vlan members 100
Erstellen Sie das primäre VLAN:
[edit vlans] set vlans pvlan100 vlan-id 100
Erstellen Sie die IRB-Schnittstelle
irb, und weisen Sie ihr eine Adresse im Subnetz zu, die von den an die Switches 1 und 2 angeschlossenen Geräten verwendet wird:[edit interfaces] set irb unit 100 family inet address 192.168.1.1/24
HINWEIS:Jedes Hostgerät, das Sie auf Layer 3 verbinden möchten, muss sich im selben Subnetz wie die IRB-Schnittstelle befinden und die IP-Adresse der IRB-Schnittstelle als Standard-Gateway-Adresse verwenden.
Schließen Sie die IRB-Schnittstellenkonfiguration ab, indem Sie die Schnittstelle an das primäre VLAN
pvlan100binden:[edit vlans] set pvlan100 l3-interface irb.100
Konfigurieren Sie uneingeschränktes Proxy-ARP für jede Einheit der IRB-Schnittstelle, damit die ARP-Auflösung für IPv4-Datenverkehr funktioniert:
[edit interfaces] set irb unit 100 proxy-arp unrestricted
HINWEIS:Da die Geräte in der Community und in isolierten VLANs auf Layer 2 isoliert sind, ist dieser Schritt erforderlich, damit die ARP-Auflösung zwischen den VLANs erfolgen kann, damit Geräte, die IPv4 verwenden, auf Layer 3 kommunizieren können. (Bei IPv6-Datenverkehr müssen Sie der Zieladresse explizit eine IRB-Adresse zuordnen, um die ARP-Auflösung zu ermöglichen.)
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
pvlan100{
vlan-id 100;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 1 erstellt wurden
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 2 erstellt wurden
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 3 erstellt wurden
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 1 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 1 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/15.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_xe-0/0/16.0__, Created at: Wed Sep 16 23:15:27 2015
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk xe-0/0/5.0*, tagged, trunk xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:15:27 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/15.0*, untagged, access
xe-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/15.0__
__pvlan_pvlan100_xe-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Das Vorhandensein der Felder "Trunk" und "Inter-Switch-isoliert" weist darauf hin, dass sich dieses PVLAN über mehr als einen Switch erstreckt.
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 2 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_xe-0/0/17.0__, Created at: Wed Sep 16 23:19:22 2015
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Wed Sep 16 23:19:22 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
xe-0/0/0.0*, tagged, trunk
xe-0/0/5.0*, tagged, trunk
xe-0/0/11.0*, untagged, access
xe-0/0/12.0*, untagged, access
xe-0/0/13.0*, untagged, access
xe-0/0/14.0*, untagged, access
xe-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_xe-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 2 erstellt wurde und ein isoliertes VLAN, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Das Vorhandensein der Felder "Trunk" und "Inter-Switch-isoliert" weist darauf hin, dass sich dieses PVLAN über mehr als einen Switch erstreckt. Wenn Sie diesen Ausgang mit dem Ausgang von Switch 1 vergleichen, können Sie sehen, dass beide Switches zum selben PVLAN gehören (pvlan100).
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 3 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: default, Created at: Wed Sep 16 03:03:18 2015
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: hr-comm, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
VLAN: pvlan100, Created at: Wed Sep 16 23:22:40 2015
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
xe-0/0/0.0*, tagged, trunk
xe-0/0/1.0*, tagged, trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass das PVLAN (pvlan100) auf Switch 3 konfiguriert ist und dass es keine isolierten VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Switch 3 fungiert jedoch als Verteiler-Switch, sodass der Ausgang keine Zugriffsschnittstellen innerhalb des PVLANs enthält. Es werden nur die Trunk-Schnittstellen angezeigt, die von Switch 3 mit den anderen Switches (Switch 1 und Switch 2) im selben PVLAN verbunden sind pvlan100 .
Beispiel: Konfigurieren eines privaten VLANs mit mehreren Switches der EX-Serie
Aus Sicherheitsgründen ist es oft sinnvoll, den Fluss von Broadcast- und unbekanntem Unicast-Datenverkehr einzuschränken und sogar die Kommunikation zwischen bekannten Hosts einzuschränken. Die Funktion "Private VLAN" (PVLAN) der Switches der EX-Serie ermöglicht es einem Administrator, eine Broadcast-Domäne in mehrere isolierte Broadcast-Subdomänen aufzuteilen, wodurch im Wesentlichen ein VLAN in ein VLAN eingefügt wird. Ein PVLAN kann sich über mehrere Switches erstrecken.
In diesem Beispiel wird beschrieben, wie ein PVLAN erstellt wird, das sich über mehrere Switches der EX-Serie erstreckt. Im Beispiel wird ein primäres PVLAN erstellt, das mehrere sekundäre VLANs enthält:
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
- Anforderungen
- Übersicht und Topologie
- Konfigurieren eines PVLANs auf Switch 1
- Konfigurieren eines PVLANs auf Switch 2
- Konfigurieren eines PVLANs auf Switch 3
- Verifizierung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Drei Switches der EX-Serie
Junos OS Version 10.4 oder höher für Switches der EX-Serie
Bevor Sie mit der Konfiguration eines PVLANs beginnen, stellen Sie sicher, dass Sie die erforderlichen VLANs erstellt und konfiguriert haben. Weitere Informationen finden Sie unter Konfigurieren von VLANs für Switches der EX-Serie.
Übersicht und Topologie
In einem großen Büro mit mehreren Gebäuden und VLANs müssen Sie möglicherweise einige Arbeitsgruppen oder andere Endpunkte aus Sicherheitsgründen oder zur Partitionierung der Broadcast-Domäne isolieren. Dieses Konfigurationsbeispiel zeigt, wie Sie ein PVLAN erstellen, das sich über mehrere Switches der EX-Serie erstreckt, wobei ein primäres VLAN zwei Community-VLANs (eines für HR und eines für Finanzen) und ein isoliertes Interswitch-VLAN (für den Mailserver, den Backup-Server und den CVS-Server) enthält. Das PVLAN besteht aus drei Switches, zwei Access Switches und einem Distribution Switch. Das PVLAN ist über einen Promiscuous-Port, der auf dem Distribution-Switch konfiguriert ist, mit einem Router verbunden.
Die isolierten Ports auf Switch 1 und Switch 2 verfügen nicht über Layer-2-Konnektivität untereinander, obwohl sie in derselben Domäne enthalten sind. Weitere Informationen finden Sie unter Grundlegendes zu privaten VLANs.
Abbildung 20 Zeigt die Topologie für dieses Beispiel: Zwei Access Switches, die mit einem Distribution-Switch verbunden sind, der wiederum über einen promiskuitiven Port mit dem Router verbunden ist.
Tabelle 16, Tabelle 17und Tabelle 18 listen Sie die Einstellungen für die Beispieltopologie auf.
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 1 mit Switch 3 ge-0/0/5.0, verbindet Switch 1 mit Switch 2 |
Schnittstellen im VLAN isolation |
ge-0/0/15.0, Mailserver ge-0/0/16.0, Backup-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 2 mit Switch 3 ge-0/0/5.0, verbindet Switch 2 mit Switch 1 |
Schnittstellen im VLAN isolation |
ge-0/0/17.0,CVS-Server |
Schnittstellen im VLAN finance-com |
ge-0/0/11.0 ge-0/0/12.0 |
Schnittstellen im VLAN hr-comm |
ge-0/0/13.0 ge-0/0/14.0 |
| Eigentum | Einstellungen |
|---|---|
VLAN-Namen und Tag-IDs |
primary-vlanEtikett 100 isolation-idEtikett 50finance-commEtikett 300hr-commEtikett 400 |
PVLAN-Trunk-Schnittstellen |
ge-0/0/0.0, verbindet Switch 3 mit Switch 1 ge-0/0/1.0, verbindet Switch 3 mit Switch 2 |
Promiskuitiver Portwein |
ge-0/0/2, Verbindet das PVLAN mit dem Router HINWEIS:
Sie müssen den Trunk-Port, der das PVLAN mit einem anderen Switch oder Router außerhalb des PVLANs verbindet, als Mitglied des PVLAN konfigurieren, wodurch er implizit als promiskuitiver Port konfiguriert wird. |
Topologie
Konfigurieren eines PVLANs auf Switch 1
CLI-Schnellkonfiguration
Bei der Konfiguration eines PVLANs auf mehreren Switches gelten die folgenden Regeln:
Das primäre VLAN muss ein getaggtes VLAN sein. Es wird empfohlen, zuerst das primäre VLAN zu konfigurieren.
Die Konfiguration eines VoIP-VLANs (Voice over IP) auf PVLAN-Schnittstellen wird nicht unterstützt.
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Sekundäre VLANs und der PVLAN-Trunk-Port müssen in einem einzigen Commit festgeschrieben werden, wenn MVRP auf dem PVLAN-Trunk-Port konfiguriert ist.
Um schnell ein PVLAN zu erstellen und zu konfigurieren, das sich über mehrere Switches erstreckt, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 1 ein:
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/15.0 set vlans pvlan100 interface ge-0/0/16.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Anleitung
Führen Sie die folgenden Konfigurationsschritte in der angegebenen Reihenfolge aus – führen Sie außerdem alle Schritte aus, bevor Sie die Konfiguration in einem einzigen Commit bestätigen. Dies ist der einfachste Weg, um Fehlermeldungen zu vermeiden, die durch einen Verstoß gegen eine dieser drei Regeln ausgelöst werden:
Wenn Sie eine Community-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Wenn Sie eine Isolations-VLAN-ID konfigurieren möchten, müssen Sie zuerst das primäre VLAN und den PVLAN-Trunk-Port konfigurieren.
Sekundäre VLANs und ein PVLAN-Trunk müssen in einem einzigen Commit festgeschrieben werden.
So konfigurieren Sie ein PVLAN auf Switch 1, das sich über mehrere Switches erstreckt:
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches hinweg verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Stellen Sie das primäre VLAN so ein, dass es kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 no-local-switching
Legen Sie die VLAN-ID für das Community-VLAN fest, das finance-comm sich über die Switches erstreckt:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Konfigurieren Sie die Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface interfacege-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das sich über die Switches erstreckt.
[edit vlans] user@switch# hr-comm vlan-id 400
Konfigurieren Sie die Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die isolierte Inter-Switch-ID fest, um eine isolierte Inter-Switch-Domäne zu erstellen, die sich über die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 isolation-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, schließen Sie ihn als eines der Mitglieder des primären VLANs ein, aber konfigurieren Sie ihn nicht als zu einem der Community-VLANs gehörend.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 50;
}
}
Konfigurieren eines PVLANs auf Switch 2
CLI-Schnellkonfiguration
Um schnell ein privates VLAN zu erstellen und zu konfigurieren, das sich über mehrere Switches erstreckt, kopieren Sie die folgenden Befehle und fügen Sie sie in das Terminalfenster von Switch 2 ein:
Die Konfiguration von Switch 2 ist identisch mit der Konfiguration von Switch 1, mit Ausnahme der Schnittstelle in der isolierten Domäne zwischen den Switches. Für Switch 2 ist ge-0/0/17.0die Schnittstelle .
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm interface ge-0/0/11.0 set vlans finance-comm interface ge-0/0/12.0 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm interface ge-0/0/13.0 set vlans hr-comm interface ge-0/0/14.0 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/17.0 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/5.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie ein PVLAN auf Switch 2, das sich über mehrere Switches erstreckt:
Legen Sie die VLAN-ID für das Community-VLAN fest, das finance-comm sich über die Switches erstreckt:
[edit vlans] user@switch# finance-comm vlan-id 300
user@switch# set pvlan100 vlan–id 100
Konfigurieren Sie die Zugriffsschnittstellen für das finance-comm VLAN:
[edit vlans] user@switch# set finance-comm interface ge-0/0/11.0
user@switch# set finance-comm interface ge-0/0/12.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das sich über die Switches erstreckt.
[edit vlans] user@switch# hr-comm vlan-id 400
Konfigurieren Sie die Zugriffsschnittstellen für das hr-comm VLAN:
[edit vlans] user@switch# set hr-comm interface ge-0/0/13.0 user@switch# set hr-comm interface ge-0/0/14.0
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches hinweg verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Stellen Sie das primäre VLAN so ein, dass es kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 no-local-switching
Legen Sie die isolierte Inter-Switch-ID fest, um eine isolierte Inter-Switch-Domäne zu erstellen, die sich über die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 isolation-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, schließen Sie ihn als eines der Mitglieder des primären VLANs ein, aber konfigurieren Sie ihn nicht als zu einem der Community-VLANs gehörend.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
interface {
ge-0/0/11.0;
ge-0/0/12.0;
}
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
interface {
ge-0/0/13.0;
ge-0/0/14.0;
}
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/15.0;
ge-0/0/16.0;
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/5.0 {
pvlan-trunk;
}
ge-0/0/17.0;
}
no-local-switching;
isolation-id 50;
}
}
Konfigurieren eines PVLANs auf Switch 3
CLI-Schnellkonfiguration
Um Switch 3 schnell so zu konfigurieren, dass er als Verteiler-Switch dieses PVLANs fungiert, kopieren Sie die folgenden Befehle, und fügen Sie sie in das Terminalfenster von Switch 3 ein:
Die Schnittstelle ge-0/0/2.0 ist ein Trunk-Port, der das PVLAN mit einem Router verbindet.
[edit] set vlans finance-comm vlan-id 300 set vlans finance-comm primary-vlan pvlan100 set vlans hr-comm vlan-id 400 set vlans hr-comm primary-vlan pvlan100 set vlans pvlan100 vlan-id 100 set vlans pvlan100 interface ge-0/0/0.0 pvlan-trunk set vlans pvlan100 interface ge-0/0/1.0 pvlan-trunk set vlans pvlan100 no-local-switching set vlans pvlan100 isolation-id 50
Verfahren
Schritt-für-Schritt-Anleitung
Gehen Sie wie folgt vor, um Switch 3 so zu konfigurieren, dass er als Verteiler-Switch für dieses PVLAN fungiert:
Legen Sie die VLAN-ID für das Community-VLAN fest, das finance-comm sich über die Switches erstreckt:
[edit vlans] user@switch# finance-comm vlan-id 300
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: finance-comm
[edit vlans] user@switch# set vlans finance-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das HR-Community-VLAN fest, das sich über die Switches erstreckt:
[edit vlans] user@switch# hr-comm vlan-id 400
Legen Sie das primäre VLAN dieses sekundären Community-VLAN fest: hr-comm
[edit vlans] user@switch# set vlans hr-comm primary-vlan pvlan100
Legen Sie die VLAN-ID für das primäre VLAN fest:
[edit vlans] user@switch# set pvlan100 vlan–id 100
Legen Sie die PVLAN-Trunk-Schnittstellen fest, die dieses VLAN über benachbarte Switches hinweg verbinden:
[edit vlans] user@switch# set pvlan100 interface ge-0/0/0.0 pvlan-trunk user@switch# set pvlan100 interface ge-0/0/5.0 pvlan-trunk
Stellen Sie das primäre VLAN so ein, dass es kein lokales Switching hat:
[edit vlans] user@switch# set pvlan100 no-local-switching
Legen Sie die isolierte Inter-Switch-ID fest, um eine isolierte Inter-Switch-Domäne zu erstellen, die sich über die Switches erstreckt:
[edit vlans] user@switch# set pvlan100 isolation-id 50
HINWEIS:Um einen isolierten Port zu konfigurieren, schließen Sie ihn als eines der Mitglieder des primären VLANs ein, aber konfigurieren Sie ihn nicht als zu einem der Community-VLANs gehörend.
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration:
[edit]
user@switch# show
vlans {
finance-comm {
vlan-id 300;
primary-vlan pvlan100;
}
hr-comm {
vlan-id 400;
primary-vlan pvlan100;
}
pvlan100 {
vlan-id 100;
interface {
ge-0/0/0.0 {
pvlan-trunk;
}
ge-0/0/1.0 {
pvlan-trunk;
}
ge-0/0/2.0;
}
no-local-switching;
isolation-id 50;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 1 erstellt wurden
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 2 erstellt wurden
- Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 3 erstellt wurden
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 1 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 1 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/15.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/15.0*, untagged, access
VLAN: __pvlan_pvlan100_ge-0/0/16.0__, Created at: Thu Sep 16 23:15:27 2010
Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/16.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 300, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 400, Internal index: 9, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:15:27 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 6 (Active = 6)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/15.0*, untagged, access
ge-0/0/16.0*, untagged, access
Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/15.0__
__pvlan_pvlan100_ge-0/0/16.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Das Vorhandensein der pvlan-trunk Felder und Inter-switch-isolated weist darauf hin, dass sich dieses PVLAN über mehr als einen Switch erstreckt.
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 2 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 2 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_ge-0/0/17.0__, Created at: Thu Sep 16 23:19:22 2010
Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 1 (Active = 1)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/17.0*, untagged, access
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 50, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 300, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
VLAN: hr-comm, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 400, Internal index: 8, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 2 (Active = 2)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
VLAN: pvlan100, Created at: Thu Sep 16 23:19:22 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 5 (Active = 5)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/5.0*, tagged, trunk, pvlan-trunk
ge-0/0/11.0*, untagged, access
ge-0/0/12.0*, untagged, access
ge-0/0/13.0*, untagged, access
ge-0/0/14.0*, untagged, access
ge-0/0/17.0*, untagged, access
Secondary VLANs: Isolated 1, Community 2, Inter-switch-isolated 1
Isolated VLANs :
__pvlan_pvlan100_ge-0/0/17.0__
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass ein PVLAN auf Switch 1 erstellt wurde und zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Das Vorhandensein der pvlan-trunk Felder und Inter-switch-isolated weist darauf hin, dass es sich um PVLAN handelt, das sich über mehr als einen Switch erstreckt. Wenn Sie diesen Ausgang mit dem Ausgang von Switch 1 vergleichen, können Sie sehen, dass beide Switches zum selben PVLAN gehören (pvlan100).
Überprüfen, ob das primäre VLAN und die sekundären VLANs auf Switch 3 erstellt wurden
Zweck
Stellen Sie sicher, dass die PVLAN-Konfiguration, die sich über mehrere Switches erstreckt, auf Switch 3 ordnungsgemäß funktioniert:
Action!
Verwenden Sie den show vlans extensive Befehl:
user@switch> show vlans extensive
VLAN: __pvlan_pvlan100_isiv__, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 50, Internal index: 5, Admin State: Enabled, Origin: Static
Private VLAN Mode: Inter-switch-isolated, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: default, Created at: Thu Sep 16 03:03:18 2010
Internal index: 2, Admin State: Enabled, Origin: Static
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 0 (Active = 0), Untagged 0 (Active = 0)
VLAN: finance-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 300, Internal index: 6, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: hr-comm, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 400, Internal index: 7, Admin State: Enabled, Origin: Static
Private VLAN Mode: Community, Primary VLAN: pvlan100
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
VLAN: pvlan100, Created at: Thu Sep 16 23:22:40 2010
802.1Q Tag: 100, Internal index: 4, Admin State: Enabled, Origin: Static
Private VLAN Mode: Primary
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 2 (Active = 2), Untagged 0 (Active = 0)
ge-0/0/0.0*, tagged, trunk, pvlan-trunk
ge-0/0/1.0*, tagged, trunk, pvlan-trunk
Secondary VLANs: Isolated 0, Community 2, Inter-switch-isolated 1
Community VLANs :
finance-comm
hr-comm
Inter-switch-isolated VLAN :
__pvlan_pvlan100_isiv__Bedeutung
Die Ausgabe zeigt, dass das PVLAN (pvlan100) auf Switch 3 konfiguriert ist und zwei isolierte VLANs, zwei Community-VLANs und ein isoliertes Interswitch-VLAN enthält. Switch 3 fungiert jedoch als Verteiler-Switch, sodass der Ausgang keine Zugriffsschnittstellen innerhalb des PVLANs enthält. Es werden nur die Schnittstellen angezeigt, die pvlan-trunk von Switch 3 zu den anderen Switches (Switch 1 und Switch 2) im selben PVLAN verbunden sind pvlan100 .
Beispiel: Konfigurieren von PVLANs mit sekundären VLAN-Trunk-Ports und Promiscuous-Access-Ports auf einem Switch der QFX-Serie
Dieses Beispiel zeigt, wie sekundäre VLAN-Trunk-Ports und promiskuitive Zugriffsports als Teil einer privaten VLAN-Konfiguration konfiguriert werden. Sekundäre VLAN-Trunk-Ports übertragen sekundären VLAN-Datenverkehr.
In diesem Beispiel wird Junos OS für Switches verwendet, die den Konfigurationsstil Enhanced Layer 2 Software (ELS) nicht unterstützen. Weitere Informationen zu ELS finden Sie unter Verwenden der erweiterten Layer-2-Software-CLI.
Für ein bestimmtes privates VLAN kann ein sekundärer VLAN-Trunk-Port Datenverkehr nur für ein sekundäres VLAN übertragen. Ein sekundärer VLAN-Trunk-Port kann jedoch Datenverkehr für mehrere sekundäre VLANs übertragen, solange jedes sekundäre VLAN Mitglied eines anderen privaten (primären) VLANs ist. Beispielsweise kann ein sekundärer VLAN-Trunk-Port den Datenverkehr für ein Community-VLAN übertragen, das Teil des primären VLANS pvlan100 ist, und auch den Datenverkehr für ein isoliertes VLAN, das Teil des primären VLANS pvlan400 ist.
Um einen Trunk-Port für die Übertragung von sekundärem VLAN-Datenverkehr zu konfigurieren, verwenden Sie die Anweisungen isolated and interface , wie in den Schritten 12 und 13 der Beispielkonfiguration für Switch 1 gezeigt.
Wenn Datenverkehr von einem sekundären VLAN-Trunk-Port ausgeht, trägt er normalerweise das Tag des primären VLANs, in dem der sekundäre Port Mitglied ist. Wenn Sie möchten, dass Datenverkehr, der von einem sekundären VLAN-Trunk-Port ausgeht, sein sekundäres VLAN-Tag beibehält, verwenden Sie die Anweisung extend-secondary-vlan-id .
Ein promiskuitiver Zugriffsport überträgt ungetaggten Datenverkehr und kann nur Mitglied eines primären VLANs sein. Datenverkehr, der über einen promiscuous-Zugriffsport eingeht, wird an die Ports der sekundären VLANs weitergeleitet, die Mitglieder des primären VLANs sind, in dem der promiscuous access-Port Mitglied ist. Dieser Datenverkehr trägt die entsprechenden sekundären VLAN-Tags, wenn er von den sekundären VLAN-Ports ausgeht, wenn der sekundäre VLAN-Port ein Trunk-Port ist.
Um einen Zugriffsport so zu konfigurieren, dass er promiscuous ist, verwenden Sie die promiscuous-Anweisung , wie im Schritt 12 der Beispielkonfiguration für Switch 2 gezeigt.
Wenn der Datenverkehr an einem sekundären VLAN-Port eingeht und an einem promiskuitiven Zugriffsport ausgeht, wird der Datenverkehr beim Ausgang enttaggt. Wenn markierter Datenverkehr an einem promiskuitiven Zugriffsport eingeht, wird der Datenverkehr verworfen.
- Anforderungen
- Übersicht und Topologie
- Konfigurieren der PVLANs auf Switch 1
- Konfigurieren der PVLANs auf Switch 2
- Verifizierung
Anforderungen
In diesem Beispiel werden die folgenden Hardware- und Softwarekomponenten verwendet:
Zwei QFX-Geräte
Junos OS Version 12.2 oder höher für die QFX-Serie
Übersicht und Topologie
Abbildung 21 Zeigt die in diesem Beispiel verwendete Topologie. Switch 1 umfasst mehrere primäre und sekundäre private VLANs sowie zwei sekundäre VLAN-Trunk-Ports, die für die Übertragung sekundärer VLANs konfiguriert sind, die Mitglieder der primären VLANs pvlan100 und pvlan400 sind.
Switch 2 enthält die gleichen privaten VLANs. Die Abbildung zeigt xe-0/0/0 auf Switch 2, wie es mit promiscuous access ports oder promiscuous trunk ports konfiguriert ist. In der hier enthaltenen Beispielkonfiguration wird dieser Port als promiskuitiver Zugriffsport konfiguriert.
Die Abbildung zeigt auch, wie der Datenverkehr nach dem Eingang in die sekundären VLAN-Trunk-Ports auf Switch 1 fließen würde.
Tabelle 19 und Tabelle 20 listen Sie die Einstellungen für die Beispieltopologie auf beiden Switches auf.
| Bestandteil | Beschreibung |
|---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
comm300, ID 300 |
Community-VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community-VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
Isolation – VLAN-ID 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0,0 |
Sekundärer VLAN-Trunk-Port für die primären VLANs pvlan100 und pvlan400 |
xe-0/0/1,0 |
PVLAN-Trunk-Port für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2.0 |
Isolierter Zugangsport für pvlan100 |
xe-0/0/3,0 |
Community-Zugangsport für comm300 |
xe-0/0/5.0 |
Isolierter Zugangsport für pvlan400 |
xe-0/0/6.0 |
Community-Trunk-Port für comm600 |
| Bestandteil | Beschreibung |
|---|---|
pvlan100, ID 100 |
Primäres VLAN |
pvlan400, ID 400 |
Primäres VLAN |
comm300, ID 300 |
Community-VLAN, Mitglied von pvlan100 |
comm600, ID 600 |
Community-VLAN, Mitglied von pvlan400 |
isolation-vlan-id 200 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan100 |
Isolation – VLAN-ID 500 |
VLAN-ID für isoliertes VLAN, Mitglied von pvlan400 |
xe-0/0/0,0 |
Promiskuitiver Zugriffsport für primäre VLANs pvlan100 |
xe-0/0/1,0 |
PVLAN-Trunk-Port für primäre VLANs pvlan100 und pvlan400 |
xe-0/0/2.0 |
Sekundärer Trunk-Port für isoliertes VLAN, Mitglied von pvlan100 |
xe-0/0/3,0 |
Community-Zugangsport für comm300 |
xe-0/0/5.0 |
Isolierter Zugangsport für pvlan400 |
xe-0/0/6.0 |
Community-Zugangsport für comm600 |
Konfigurieren der PVLANs auf Switch 1
CLI-Schnellkonfiguration
Um die PVLANs auf Switch 1 schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfacesxe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode trunk set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 isolated set vlans pvlan400 interface xe-0/0/0.0 isolated set vlans comm600 interface xe-0/0/0.0 set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die privaten VLANs und sekundären VLAN-Trunk-Ports:
Konfigurieren Sie die Schnittstellen und Portmodi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
HINWEIS:Primäre VLANs müssen immer als VLANs gekennzeichnet sein, auch wenn sie nur auf einem Gerät vorhanden sind.
Konfigurieren Sie die primären VLANs so, dass sie privat sind:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfigurieren Sie den PVLAN-Trunk-Port so, dass der private VLAN-Datenverkehr zwischen den Switches übertragen wird:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Erstellen Sie ein sekundäres VLAN comm300 mit der VLAN-ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Erstellen Sie ein sekundäres VLAN comm600 mit der VLAN-ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
Konfigurieren Sie die isolierten VLANs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
HINWEIS:Wenn Sie einen sekundären VLAN-Trunk-Port so konfigurieren, dass er ein isoliertes VLAN überträgt, müssen Sie auch eine isolation-vlan-idkonfigurieren. Dies gilt auch dann, wenn das isolierte VLAN nur auf einem Switch vorhanden ist.
Aktivieren Sie den Trunk-Port xe-0/0/0, um sekundäre VLANs für die primären VLANs zu übertragen:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 isolated user@switch# set pvlan400 interface xe-0/0/0.0 isolated
Konfigurieren Sie den Trunk-Port xe-0/0/0 für die Übertragung von comm600 (Mitglied von pvlan400):
[edit vlans] user@switch# set comm600 interface xe-0/0/0.0
HINWEIS:Sie müssen xe-0/0/0 nicht explizit konfigurieren, um den isolierten VLAN-Datenverkehr (Tags 200 und 500) zu übertragen, da alle isolierten Ports in pvlan100 und pvlan400 – einschließlich xe-0/0/0.0 – automatisch in die isolierten VLANs aufgenommen werden, die bei der Konfiguration
isolation-vlan-id 200von undisolation-vlan-id 500erstellt wurden.Konfigurieren Sie xe-0/0/2 und xe-0/0/6 für die Isolierung:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 1:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/0.0;
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Konfigurieren der PVLANs auf Switch 2
Die Konfiguration für Switch 2 ist nahezu identisch mit der Konfiguration für Switch 1. Der bedeutendste Unterschied besteht darin, dass xe-0/0/0 auf Switch 2 als promiskuitiver Trunk-Port oder promiskuitiver Zugriffsport konfiguriert ist, wie Abbildung 21 gezeigt. In der folgenden Konfiguration ist xe-0/0/0 als promiskuitiver Zugriffsport für das primäre VLAN pvlan100 konfiguriert.
Wenn Datenverkehr an einem VLAN-fähigen Port und an einem promiskuitiven Zugriffsport eingeht, werden die VLAN-Tags beim Ausgang verworfen und der Datenverkehr wird zu diesem Zeitpunkt nicht mehr markiert. Beispiel: Der Datenverkehr für comm600 geht auf dem sekundären VLAN-Trunk-Port ein, der auf xe-0/0/0.0 auf Switch 1 konfiguriert ist und Tag 600 trägt, wenn er über das sekundäre VLAN weitergeleitet wird. Wenn er von xe-0/0/0.0 auf Switch 2 ausgeht, wird die Markierung aufgehoben, wenn Sie xe-0/0/0.0 als promiskuitiven Zugriffsport konfigurieren, wie in diesem Beispiel gezeigt. Wenn Sie stattdessen xe-0/0/0.0 als promiskuitiven Trunk-Port (Port-Mode-Trunk) konfigurieren, trägt der Datenverkehr für comm600 beim Ausgang sein primäres VLAN-Tag (400).
CLI-Schnellkonfiguration
Um die PVLANs auf Switch 2 schnell zu erstellen und zu konfigurieren, kopieren Sie die folgenden Befehle, und fügen Sie sie in ein Switch-Terminalfenster ein:
[edit] set interfaces xe-0/0/0 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/1 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 set interfaces xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 set interfaces xe-0/0/2 unit 0 family ethernet-switching port-mode trunk set interfaces xe-0/0/3 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/5 unit 0 family ethernet-switching port-mode access set interfaces xe-0/0/6 unit 0 family ethernet-switching port-mode access set vlans pvlan100 vlan-id 100 set vlans pvlan400 vlan-id 400 set vlans pvlan100 pvlan set vlans pvlan400 pvlan set vlans pvlan100 interface xe-0/0/1.0 pvlan-trunk set vlans pvlan400 interface xe-0/0/1.0 pvlan-trunk set vlans comm300 vlan-id 300 set vlans comm300 primary-vlan pvlan100 set vlans comm300 interface xe-0/0/3.0 set vlans comm600 vlan-id 600 set vlans comm600 primary-vlan pvlan400 set vlans comm600 interface xe-0/0/6.0 set vlans pvlan100 pvlan isolation-vlan-id 200 set vlans pvlan400 pvlan isolation-vlan-id 500 set vlans pvlan100 interface xe-0/0/0.0 promiscuous set vlans pvlan100 interface xe-0/0/2.0 isolated set vlans pvlan400 interface xe-0/0/5.0 isolated
Verfahren
Schritt-für-Schritt-Anleitung
So konfigurieren Sie die privaten VLANs und sekundären VLAN-Trunk-Ports:
Konfigurieren Sie die Schnittstellen und Portmodi:
[edit interfaces] user@switch# set xe-0/0/0 unit 0 family ethernet-switching port-mode access
user@switch# set xe-0/0/1 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan100 user@switch# set xe-0/0/1 unit 0 family ethernet-switching vlan members pvlan400 user@switch# set xe-0/0/2 unit 0 family ethernet-switching port-mode trunk user@switch# set xe-0/0/3 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/5 unit 0 family ethernet-switching port-mode access user@switch# set xe-0/0/6 unit 0 family ethernet-switching port-mode access
Erstellen Sie die primären VLANs:
[edit vlans] user@switch# set pvlan100 vlan-id 100 user@switch# set pvlan400 vlan-id 400
Konfigurieren Sie die primären VLANs so, dass sie privat sind:
[edit vlans] user@switch# set pvlan100 pvlan user@switch# set pvlan400 pvlan
Konfigurieren Sie den PVLAN-Trunk-Port so, dass der private VLAN-Datenverkehr zwischen den Switches übertragen wird:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/1.0 pvlan-trunk user@switch# set pvlan400 interface xe-0/0/1.0 pvlan-trunk
Erstellen Sie ein sekundäres VLAN comm300 mit der VLAN-ID 300:
[edit vlans] user@switch# set comm300 vlan-id 300
Konfigurieren Sie das primäre VLAN für comm300:
[edit vlans] user@switch# set comm300 primary-vlan pvlan100
Konfigurieren Sie die Schnittstelle für comm300:
[edit vlans] user@switch# set comm300 interface xe-0/0/3.0
Erstellen Sie ein sekundäres VLAN comm600 mit der VLAN-ID 600:
[edit vlans] user@switch# set comm600 vlan-id 600
Konfigurieren Sie das primäre VLAN für comm600:
[edit vlans] user@switch# set comm600 primary-vlan pvlan400
Konfigurieren Sie die Schnittstelle für comm600:
[edit vlans] user@switch# set comm600 interface xe-0/0/6.0
- Konfigurieren der PVLANs auf Switch 1
Konfigurieren Sie die isolierten VLANs zwischen den Switches:
[edit vlans] user@switch# set pvlan100 pvlan isolation-vlan-id 200 user@switch# set pvlan400 pvlan isolation-vlan-id 500
Konfigurieren Sie den Zugriffsport xe-0/0/0 so, dass er für pvlan100 promiskuitiv ist:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/0.0 promiscuous
HINWEIS:Ein promiskuitiver Zugriffsport kann nur Mitglied eines primären VLANs sein.
Konfigurieren Sie xe-0/0/2 und xe-0/0/6 für die Isolierung:
[edit vlans] user@switch# set pvlan100 interface xe-0/0/2.0 isolated user@switch# set pvlan400 interface xe-0/0/5.0 isolated
Ergebnisse
Überprüfen Sie die Ergebnisse der Konfiguration auf Switch 2:
[edit]
user@switch# show
interfaces {
xe-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode access;
vlan {
members pvlan100;
}
}
}
}
xe-0/0/1 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members pvlan100;
members pvlan400;
}
}
}
}
xe-0/0/2 {
unit 0 {
family ethernet-switching {
port-mode trunk;
}
}
}
xe-0/0/3 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/5 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
xe-0/0/6 {
unit 0 {
family ethernet-switching {
port-mode access;
}
}
}
vlans {
comm300 {
vlan-id 300;
interface {
xe-0/0/3.0;
}
primary-vlan pvlan100;
}
comm600 {
vlan-id 600;
interface {
xe-0/0/6.0;
}
primary-vlan pvlan400;
}
pvlan100 {
vlan-id 100;
interface {
xe-0/0/0.0;
xe-0/0/2.0;
xe-0/0/3.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 200;
}
pvlan400 {
vlan-id 400;
interface {
xe-0/0/5.0;
xe-0/0/6.0;
xe-0/0/1.0 {
pvlan-trunk;
}
}
no-local-switching;
isolation-id 500;
}
}
Verifizierung
Um zu bestätigen, dass die Konfiguration ordnungsgemäß funktioniert, führen Sie die folgenden Schritte aus:
- Überprüfen, ob das private VLAN und die sekundären VLANs erstellt wurden
- Überprüfen der Einträge in der Ethernet-Switching-Tabelle
Überprüfen, ob das private VLAN und die sekundären VLANs erstellt wurden
Zweck
Stellen Sie sicher, dass das primäre VLAN und die sekundären VLANs ordnungsgemäß auf Switch 1 erstellt wurden.
Action!
Verwenden Sie den show vlans Befehl:
user@switch> show vlans private-vlan Name Role Tag Interfaces pvlan100 Primary 100 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/2.0, xe-0/0/3.0 __iso_pvlan100__ Isolated 200 xe-0/0/2.0 comm300 Community 300 xe-0/0/3.0 pvlan400 Primary 400 xe-0/0/0.0, xe-0/0/1.0, xe-0/0/5.0, xe-0/0/6.0 __iso_pvlan400__ Isolated 500 xe-0/0/5.0 comm600 Community 600 xe-0/0/6.0
Bedeutung
Die Ausgabe zeigt, dass die privaten VLANs erstellt wurden, und identifiziert die Schnittstellen und sekundären VLANs, die ihnen zugeordnet sind.
Überprüfen der Einträge in der Ethernet-Switching-Tabelle
Zweck
Stellen Sie sicher, dass die Einträge in der Ethernet-Switching-Tabelle für das primäre VLAN pvlan100 erstellt wurden.
Action!
Zeigen Sie die Einträge in der Ethernet-Switching-Tabelle für pvlan100 an.
user@switch> show ethernet-switching table vlan pvlan100 private-vlan Ethernet-switching table: 0 unicast entries pvlan100 * Flood - All-members pvlan100 00:10:94:00:00:02 Learn xe-0/0/2.0 __iso_pvlan100__ * Flood - All-members __iso_pvlan100__ 00:10:94:00:00:02 Replicated - xe-0/0/2.0
Überprüfen, ob ein privates VLAN auf einem Switch funktioniert
Zweck
Überprüfen Sie nach dem Erstellen und Konfigurieren privater VLANs (PVLANs), ob diese ordnungsgemäß eingerichtet sind.
Action!
So stellen Sie fest, ob Sie die primären und sekundären VLAN-Konfigurationen erfolgreich erstellt haben:
Verwenden Sie für ein PVLAN auf einem einzelnen Switch den
show configuration vlansfolgenden Befehl:user@switch> show configuration vlans community1 { interface { interface a; interface b; } primary-vlan pvlan; } community2 { interface { interface d; interface e; } primary-vlan pvlan; } pvlan { vlan-id 1000; interface { isolated1; isolated2; trunk1; trunk2; } no-local-switching; }Verwenden Sie für ein PVLAN, das sich über mehrere Switches erstreckt, den show vlans
extensivefolgenden Befehl:user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Verwenden Sie den
show vlansextensiveBefehl, um VLAN-Informationen und den Verbindungsstatus für ein PVLAN auf einem einzelnen Switch oder für ein PVLAN, das sich über mehrere Switches erstreckt, anzuzeigen.Für ein PVLAN auf einem einzelnen Switch:
user@switch> show vlans pvlan extensive VLAN: pvlan, Created at: time 802.1Q Tag: vlan-id, Internal index: index-number, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode Number of interfaces: Tagged 2 (Active = 0), Untagged 6 (Active = 0) trunk1, tagged, trunk interface a, untagged, access interface b, untagged, access interface c, untagged, access interface d, untagged, access interface e, untagged, access interface f, untagged, access trunk2, tagged, trunk Secondary VLANs: Isolated 2, Community 2 Isolated VLANs : __pvlan_pvlan_isolated1__ __pvlan_pvlan_isolated2__ Community VLANs : community1 community2Für ein PVLAN, das sich über mehrere Switches erstreckt:
user@switch> show vlans extensive VLAN: COM1, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 100, Internal index: 3, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/7.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/0.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 5, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 1) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access VLAN: __pvlan_primary_ge-0/0/2.0__, Created at: Tue May 11 18:16:05 2010 Internal index: 6, Admin State: Enabled, Origin: Static Private VLAN Mode: Isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 1 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/2.0, untagged, access VLAN: __pvlan_primary_isiv__, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 50, Internal index: 7, Admin State: Enabled, Origin: Static Private VLAN Mode: Inter-switch-isolated, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 0 (Active = 0) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk VLAN: community2, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 20, Internal index: 8, Admin State: Enabled, Origin: Static Private VLAN Mode: Community, Primary VLAN: primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 2 (Active = 2) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/1.0*, untagged, access ge-1/0/6.0*, untagged, access VLAN: primary, Created at: Tue May 11 18:16:05 2010 802.1Q Tag: 10, Internal index: 2, Admin State: Enabled, Origin: Static Private VLAN Mode: Primary Protocol: Port Mode, Mac aging time: 300 seconds Number of interfaces: Tagged 3 (Active = 3), Untagged 5 (Active = 4) ge-0/0/20.0*, tagged, trunk ge-0/0/22.0*, tagged, trunk, pvlan-trunk ge-0/0/23.0*, tagged, trunk, pvlan-trunk ge-0/0/0.0*, untagged, access ge-0/0/1.0*, untagged, access ge-0/0/2.0, untagged, access ge-0/0/7.0*, untagged, access ge-1/0/6.0*, untagged, access Secondary VLANs: Isolated 2, Community 2, Inter-switch-isolated 1 Isolated VLANs : __pvlan_primary_ge-0/0/0.0__ __pvlan_primary_ge-0/0/2.0__ Community VLANs : COM1 community2 Inter-switch-isolated VLAN : __pvlan_primary_isiv__
Verwenden Sie den
show ethernet-switching tableBefehl, um Protokolle für MAC-Lernen in den VLANs anzuzeigen:user@switch> show ethernet-switching table Ethernet-switching table: 8 entries, 1 learned VLAN MAC address Type Age Interfaces default * Flood - All-members pvlan * Flood - All-members pvlan MAC1 Replicated - interface a pvlan MAC2 Replicated - interface c pvlan MAC3 Replicated - isolated2 pvlan MAC4 Learn 0 trunk1 __pvlan_pvlan_isolated1__ * Flood - All-members __pvlan_pvlan_isolated1__ MAC4 Replicated - trunk1 __pvlan_pvlan_isolated2__ * Flood - All-members __pvlan_pvlan_isolated2__ MAC3 Learn 0 isolated2 __pvlan_pvlan_isolated2__ MAC4 Replicated - trunk1 community1 * Flood - All-members community1 MAC1 Learn 0 interface a community1 MAC4 Replicated - trunk1 community2 * Flood - All-members community2 MAC2 Learn 0 interface c community2 MAC4 Replicated - trunk1
Wenn Sie ein PVLAN konfiguriert haben, das sich über mehrere Switches erstreckt, können Sie denselben Befehl auf allen Switches verwenden, um die Protokolle auf MAC-Lernen auf diesen Switches zu überprüfen.
Bedeutung
In den Ausgabeanzeigen für ein PVLAN auf einem einzelnen Switch können Sie sehen, dass das primäre VLAN zwei Community-Domänen (community1 und community2), zwei isolierte Ports und zwei Trunk-Ports enthält. Das PVLAN auf einem einzelnen Switch hat nur ein Tag (1000), das für das primäre VLAN gilt.
Das PVLAN, das sich über mehrere Switches erstreckt, enthält mehrere Tags:
Die Community-Domain COM1 ist mit dem Tag 100gekennzeichnet.
Die Community-Domain community2 ist mit dem Tag 20gekennzeichnet.
Die isolierte Domäne des Interswitches wird mit dem Tag 50.
Das primäre VLAN primary wird mit dem Tag 10identifiziert.
Außerdem werden für das PVLAN, das sich über mehrere Switches erstreckt, die Trunk-Schnittstellen als pvlan-trunkidentifiziert.
Fehlerbehebung bei privaten VLANs auf QFX-Switches
Verwenden Sie die folgenden Informationen, um Fehler bei einer privaten VLAN-Konfiguration zu beheben.
- Einschränkungen privater VLANs
- Weiterleitung mit privaten VLANs
- Ausgangs-Firewall-Filter mit privaten VLANs
- Spiegelung des Ausgangsports mit privaten VLANs
Einschränkungen privater VLANs
Die folgenden Einschränkungen gelten für private VLAN-Konfigurationen:
IGMP-Snooping wird mit privaten VLANs nicht unterstützt.
Geroutete VLAN-Schnittstellen werden in privaten VLANs nicht unterstützt
Das Routing zwischen sekundären VLANs im selben primären VLAN wird nicht unterstützt.
Wenn Sie ein primäres VLAN in ein sekundäres VLAN ändern möchten, müssen Sie es zuerst in ein normales VLAN ändern und die Änderung bestätigen. Sie würden z. B. wie folgt vorgehen:
Ändern Sie das primäre VLAN in ein normales VLAN.
Bestätigen Sie die Konfiguration.
Ändern Sie das normale VLAN in ein sekundäres VLAN.
Bestätigen Sie die Konfiguration.
Befolgen Sie die gleiche Abfolge von Commits, wenn Sie ein sekundäres VLAN in ein primäres VLAN ändern möchten. Das heißt, machen Sie das sekundäre VLAN zu einem normalen VLAN, bestätigen Sie diese Änderung und ändern Sie dann das normale VLAN in ein primäres VLAN.
Weiterleitung mit privaten VLANs
Problem
Beschreibung
Wenn isolierter VLAN- oder Community-VLAN-getaggter Datenverkehr an einem PVLAN-Trunk-Port empfangen wird, werden MAC-Adressen aus dem primären VLAN gelernt. Dies bedeutet, dass die Ausgabe des Befehls show ethernet-switching table zeigt, dass MAC-Adressen aus dem primären VLAN gelernt und in sekundäre VLANs repliziert werden. Dieses Verhalten hat keine Auswirkungen auf Weiterleitungsentscheidungen.
Wenn ein Paket mit einem sekundären VLAN-Tag an einem promiskuitiven Port empfangen wird, wird es akzeptiert und weitergeleitet.
Wenn ein Paket an einem PVLAN-Trunk-Port empfangen wird und die beiden unten aufgeführten Bedingungen erfüllt, wird es verworfen.
Das Paket verfügt über ein Community-VLAN-Tag.
Das Paket ist für eine Unicast-MAC-Adresse oder Multicast-Gruppen-MAC-Adresse bestimmt, die in einem isolierten VLAN gelernt wurde.
Wenn ein Paket an einem PVLAN-Trunk-Port empfangen wird und die beiden unten aufgeführten Bedingungen erfüllt, wird es verworfen.
Das Paket verfügt über ein isoliertes VLAN-Tag.
Das Paket ist für eine Unicast-MAC-Adresse oder eine Multicast-Gruppen-MAC-Adresse bestimmt, die in einem Community-VLAN gelernt wurde.
Wenn ein Paket mit einem primären VLAN-Tag von einem sekundären (isolierten oder Community-) VLAN-Port empfangen wird, leitet der sekundäre Port das Paket weiter.
Wenn Sie ein Community-VLAN auf einem Gerät und ein anderes Community-VLAN auf einem zweiten Gerät konfigurieren und beide Community-VLANs dieselbe VLAN-ID verwenden, kann der Datenverkehr für eines der VLANs an das andere VLAN weitergeleitet werden. Nehmen wir beispielsweise die folgende Konfiguration an:
Community-VLAN comm1 auf Switch 1 hat die VLAN-ID 50 und ist Mitglied des primären VLAN pvlan100.
Das Community-VLAN comm2 auf Switch 2 hat ebenfalls die VLAN-ID 50 und ist Mitglied des primären VLAN pvlan200.
Das primäre VLAN pvlan100 ist auf beiden Switches vorhanden.
Wenn Datenverkehr für comm1 von Switch 1 an Switch 2 gesendet wird, wird er an die Ports gesendet, die an comm2 teilnehmen. (Der Datenverkehr wird, wie zu erwarten, auch an die Ports in comm1 weitergeleitet.)
Lösung
Dies sind erwartete Verhaltensweisen.
Ausgangs-Firewall-Filter mit privaten VLANs
Problem
Beschreibung
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter auch für die sekundären VLANs, die Mitglieder des primären VLANs sind, wenn der Datenverkehr mit dem primären VLAN-Tag oder dem isolierten VLAN-Tag ausgeht, wie unten aufgeführt:
Datenverkehr, der von einem sekundären VLAN-Trunk-Port an einen promiskuitiven Port (Trunk oder Access) weitergeleitet wird
Datenverkehr, der von einem sekundären VLAN-Trunk-Port, der ein isoliertes VLAN trägt, an einen PVLAN-Trunk-Port weitergeleitet wird.
Datenverkehr, der von einem promiskuitiven Port (Trunk oder Zugriff) an einen sekundären VLAN-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem PVLAN-Trunk-Port weitergeleitet wird. an einen sekundären VLAN-Trunk-Port
Datenverkehr, der von einem Community-Port zu einem promiskuitiven Port (Trunk oder Access) weitergeleitet wird
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein primäres VLAN anwenden, gilt der Filter nicht für Datenverkehr, der mit einem Community-VLAN-Tag ausgeht, wie unten aufgeführt:
Datenverkehr, der von einem Community-Trunk-Port an einen PVLAN-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem sekundären VLAN-Trunk-Port, der ein Community-VLAN trägt, an einen PVLAN-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem promiskuitiven Port (Trunk oder Access) an einen Community-Trunk-Port weitergeleitet wird
Datenverkehr, der von einem PVLAN-Trunk-Port weitergeleitet wird. zu einem Community-Trunk-Port
Wenn Sie einen Firewall-Filter in Ausgaberichtung auf ein Community-VLAN anwenden, gelten die folgenden Verhaltensweisen:
Der Filter wird auf Datenverkehr angewendet, der von einem promiskuitiven Port (Trunk oder Zugriff) an einen Community-Trunk-Port weitergeleitet wird (da der Datenverkehr mit dem Community-VLAN-Tag ausgeht).
Der Filter wird auf Datenverkehr angewendet, der von einem Community-Port an einen PVLAN-Trunk-Port weitergeleitet wird (da der Datenverkehr mit dem Community-VLAN-Tag ausgeht).
Der Filter wird nicht auf Datenverkehr angewendet, der von einem Community-Port an einen promiskuitiven Port weitergeleitet wird (da der Datenverkehr mit dem primären VLAN-Tag oder nicht getaggt ausgeht).
Lösung
Dies sind erwartete Verhaltensweisen. Sie treten nur auf, wenn Sie einen Firewall-Filter auf ein privates VLAN in Ausgaberichtung anwenden, und nicht, wenn Sie einen Firewall-Filter auf ein privates VLAN in Eingaberichtung anwenden.
Spiegelung des Ausgangsports mit privaten VLANs
Problem
Beschreibung
Wenn Sie eine Port-Spiegelungskonfiguration erstellen, die den privaten VLAN-Datenverkehr (PVLAN) beim Ausgang spiegelt, hat der gespiegelte Datenverkehr (der Datenverkehr, der an das Analysesystem gesendet wird) das VLAN-Tag des Eingangs-VLAN anstelle des Ausgangs-VLANs. Nehmen wir beispielsweise die folgende PVLAN-Konfiguration an:
Promiscuous-Trunk-Port, der die primären VLANs pvlan100 und pvlan400 überträgt.
Isolierter Zugriffsport, der das sekundäre VLAN isolated200 überträgt. Dieses VLAN ist Mitglied des primären VLAN pvlan100.
Community-Port, der das sekundäre VLAN comm300 überträgt. Dieses VLAN ist auch Mitglied des primären VLAN pvlan100.
Ausgangsschnittstelle (Monitorschnittstelle), die mit dem Analysesystem verbunden ist. Diese Schnittstelle leitet den gespiegelten Datenverkehr an den Analyzer weiter.
Wenn ein Paket für pvlan100 am promiskuitiven Trunk-Port eingeht und am isolierten Zugriffsport beendet wird, wird das ursprüngliche Paket beim Ausgang nicht markiert, da es an einem Zugriffsport beendet wird. Die Spiegelkopie behält jedoch das Tag für pvlan100 bei, wenn es an den Analyzer gesendet wird.
Hier ist ein weiteres Beispiel: Wenn ein Paket für comm300 am Community-Port eingeht und am promiskuitiven Trunk-Port ausgeht, trägt das ursprüngliche Paket wie erwartet das Tag für pvlan100 beim Ausgang. Die gespiegelte Kopie behält jedoch das Tag für comm300 bei, wenn es an den Analyseanalyzer gesendet wird.
Lösung
Dies ist das erwartete Verhalten.